首页 > 安全研究 > 安全通报 > 安全通告

Apache Tomcat HTTP/2拒绝服务漏洞安全通告

发布时间 2019-03-26

漏洞编号和级别


CVE编号:cve-2019-0199,危险级别:高危,CVSS分值:厂商自评7.5,官方未评定


影响版本


Apache Tomcat 9.0.0.M1 至 9.0.14

Apache Tomcat 8.5.0 至 8.5.37


漏洞概述


Apache Tomcat官方披露了—个HTTP/2的DoS漏洞,该漏洞系HTTP/2在接收过量SETTINGS Frame流数据时允许客户端在不读/写请求/响应数据的情况下仍然保持流打开状态,攻击者可以利用该漏洞从客户端发起大量的open stream请求从而阻塞服务器端的线程,引起服务器端线程资源耗尽从而导致服务不可用。


漏洞验证


暂无POC、EXP

查看Apache Tomcat对应的版本号是否在受影响版本范围内。


修复建议


目前漏洞细节已经披露,官方也在Apache Tomcat 9.0.16、Apache Tomcat8.5.38及以后版本修复中予以修复。
http://tomcat.apache.org/security-9.html

http://tomcat.apache.org/security-8.html


参考链接


https://www.mail-archive.com/dev@tomcat.apache.org/msg132386.html

上一篇 下一篇