1. 首页>
  2. 资讯中心

【安全通告】Apache Tomcat HTTP/2 DoS 漏洞安全风险公告(CVE-2020-11996)

腾讯云 2020年06月28日 浏览3816

    新闻 资讯 腾讯云代理 腾讯云直播申请 游戏上云

摘要:

尊敬的腾讯云用户,您好!

近日,腾讯云安全运营中心监测到Apache Tomcat 安全团队报告了一个 Tomcat HTTP/2 DoS 漏洞(漏洞编号:CVE-2020-11996),在并发 HTTP/2 连接上进行连接时发送大量特制请求,导致服务器无响应。

为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞详情

特殊构造的HTTP/2 请求序列可能会在数秒内引发较高的 CPU 使用率,如果有足够数量的此类请求在并发 HTTP/2 连接上进行连接时,可能导致服务器无响应,即造成拒绝服务。

风险等级

高风险

漏洞风险

攻击者发送大量特定请求导致在影响版本范围内的使用HTTP/2协议的Tomcat服务器无法响应

影响版本

Apache Tomcat 10.0.0-M1 到 10.0.0-M5

Apache Tomcat 9.0.0.M1 到 9.0.35

Apache Tomcat 8.5.0 到 8.5.55

修复版本

升级到 Apache Tomcat 10.0.0-M6 或更高版本

升级到 Apache Tomcat 9.0.36 或更高版本

升级到 Apache Tomcat 8.5.56 或更高版本

修复建议

官方已发布漏洞修复版本,腾讯云安全建议您:

1)检查您的Tomcat服务器是否在受影响版本范围

2)检查你的网站或系统是否使用HTTP/2版本协议,可参考:https://tools.keycdn.com/http2-test

3)如受影响,请你选择合理时间进行升级操作,升级到修复版本,避免影响业务。


【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外


漏洞参考

1)官方安全通告:https://www.openwall.com/lists/oss-security/2020/06/25/6


相关文章

腾讯云服务器

为企业提供:云服务器/视频/游戏/微信开发/软件/网站/APP…云解决方案

  • QQ群咨询:377986805 咨询电话:15818558013
  • 技术支持:0755-33940501-808 17603077568
  • 产品咨询:0755-33940501-803 15818558013