開源界最近很熱鬧啊,各個主流軟件或框架漏洞頻發,好比像 Struts二、FastJSON、Dubbo、Redis、Tomcat 等都存在各類各樣的漏洞。apache
不要使用含有漏洞的組件每次也都被評爲 OWASP 10 大安全漏洞之一。安全
光這半年以來,所知道的就有 Dubbo、FastJSON、Tomcat:服務器
前段時間這個 Tomcat AJP 協議漏洞大開,2020/06/25 這天 Tomcat 又爆出 HTTP/2 拒絕服務漏洞:併發
http://mail-archives.apache.org/mod_mbox/www-announce/202006.mbox/%3cfd56bc1d-1219-605b-99c7-946bf7bd8ad4@apache.org%3e框架
這是一封來自 Apache 官方安全團隊的郵件,已經過 Apache Tomcat 用戶郵件公開報告了此問題,郵件中介紹了 HTTP/2 拒絕服務漏洞的各方面細節及解決方案。ast
漏洞名稱: Apache Tomcat HTTP/2 拒絕服務漏洞class
漏洞編號: CVE-2020-11996軟件
嚴重程度: 重要請求
軟件提供商: Apache 軟件基金會im
受影響的版本:
- Apache Tomcat 10.0.0-M1 ~ 10.0.0-M5
- Apache Tomcat 9.0.0.M1 ~ 9.0.35
- Apache Tomcat 8.5.0 ~ 8.5.55
漏洞描述:
一個特別製做的 HTTP/2 請求序列,在短短數秒內能致使 CPU 滿負載率,若是有足夠數量多的此類請求鏈接(HTTP/2)併發放在服務器上,服務器可能會失去響應。
解決方案:
- 升級到 Apache Tomcat 10.0.0-M6+
- 升級到 Apache Tomcat 9.0.36+
- 升級到 Apache Tomcat 8.5.56+
升級到對應的版本便可,另外,從官方揭示的信息來看,Tomcat 8.5 如下版本不受影響,是由於 Tomcat 8.5+纔開始有了對 HTTP/2 的支持吧。
HTTP/2 拒絕服務漏洞還算好,由於 Tomcat 中默認使用 HTTP/1.1 協議,若是大家沒有用 HTTP/2 那就沒問題,若是開啓了就要注意升級了。