【安全通告】Apache Tomcat HTTP/2 DoS 漏洞安全风险公告(CVE-2020-11996)
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到Apache Tomcat 安全团队报告了一个 Tomcat HTTP/2 DoS 漏洞(漏洞编号:CVE-2020-11996),在并发 HTTP/2 连接上进行连接时发送大量特制请求,导致服务器无响应。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
特殊构造的HTTP/2 请求序列可能会在数秒内引发较高的 CPU 使用率,如果有足够数量的此类请求在并发 HTTP/2 连接上进行连接时,可能导致服务器无响应,即造成拒绝服务。
风险等级
高风险
漏洞风险
攻击者发送大量特定请求导致在影响版本范围内的使用HTTP/2协议的Tomcat服务器无法响应
影响版本
Apache Tomcat 10.0.0-M1 到 10.0.0-M5
Apache Tomcat 9.0.0.M1 到 9.0.35
Apache Tomcat 8.5.0 到 8.5.55
修复版本
升级到 Apache Tomcat 10.0.0-M6 或更高版本
升级到 Apache Tomcat 9.0.36 或更高版本
升级到 Apache Tomcat 8.5.56 或更高版本
修复建议
官方已发布漏洞修复版本,腾讯云安全建议您:
1)检查您的Tomcat服务器是否在受影响版本范围
2)检查你的网站或系统是否使用HTTP/2版本协议,可参考:https://tools.keycdn.com/http2-test
3)如受影响,请你选择合理时间进行升级操作,升级到修复版本,避免影响业务。
【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外
漏洞参考
1)官方安全通告:https://www.openwall.com/lists/oss-security/2020/06/25/6