关于锐讯

成立于2004年,十多年经验积累,专注为客户提供优质的网络环境、接入带宽及高稳定性的网络服务

【漏洞预警】Apache Tomcat HTTP/2 远程拒绝服务高危漏洞
时间:2019.03.29   作者:锐讯网络   阅读:162

近日,互联网上公开了 Apache Tomcat DoS 漏洞(CVE-2019-0199),此漏洞是由允许接收大量配置流量的应用程序服务引起的,并且客户端可以在没有读取或写入请求的情况下长时间保持连接。 如果来自客户端的连接请求太多,则服务器线程最终可能会耗尽,并且攻击者可以成功利用此漏洞来实现对目标的拒绝服务攻击。

漏洞概述

Tomcat是Apache软件基金会中的一个重要项目,性能稳定且免费,是目前较为流行的Web应用服务器。由于Tomcat应用范围较广,因此此次通告的漏洞影响范围较大,请相关企业引起关注。根据绿盟科技威胁情报反馈的数据,国内在公网开放的Tomcat资产数量超过60万之多。

Apache Tomcat在实现HTTP/2时允许接受大量的SETTINGS帧的配置流量,并且客户端在没有读写请求的情况下可以长时间保持连接。如果来自客户端的连接请求过多,最终可导致服务端线程耗尽而DoS。

 

漏洞评级

CVE-2019-0199 高危

影响范围

受影响版本

  • 0.0.M1 < Apache Tomcat < 9.0.14

  • 5.0 < Apache Tomcat < 8.5.37

不受影响版本

  • Apache Tomcat 9.0.16

  • Apache Tomcat 8.5.38

影响排查

版本检查

通常在Apache Tomcat官网下载的安装包名称中会包含有当前Tomcat的版本号,用户可通过查看解压后的文件夹名称来确定当前的版本。

如果解压后的Tomcat目录名称被修改过,或者通过Windows Service Installer方式安装,可使用软件自带的version模块来获取当前的版本。以Windows系统为例,进入tomcat安装目录的bin目录,输入命令version.bat(Linux系统下输入version.sh)后,可查看当前的软件版本号。

如果当前版本在影响范围内,请及时进行更新。

漏洞防护

版本升级

该漏洞已在新版本的Apache Tomcat 9.0.16,8.5.38中得到修复。 请用户禁用HTTP/2或升级至安全版本

以上为本文全部内容,更多IDC行业资讯,服务器知识,请关注锐讯网络

 

售前在线咨询

以下为10位资深销售主管官方企业Q,更多销售员Q请咨询销售主管

售后服务

或与官方提供的专属QQ一对一直接服务

工作时间: 周一至周五 9:30至17:30 周六13:30至17:30,其它日期按国家法定节假日休假,如果有不便之请敬请谅解! 售后技术支持:多部门7*24小时机制

客户投诉留言

电话和QQ,以便我们为您提供优质服务! *为必填项