高危:Apache Tomcat HTTP/2 DoS 漏洞,影响多个版本

最新推荐文章于 2025-02-10 21:27:10 发布
最新推荐文章于 2025-02-10 21:27:10 发布
阅读量889 收藏
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Dome_/article/details/107069950
版权

Apache Tomcat 安全团队报告了一个 Tomcat HTTP/2 DoS 漏洞。

HTTP/2 请求的特制序列可能会在数秒内引发较高的 CPU 使用率,如果有足够数量的此类请求在并发 HTTP/2 连接上进行连接时,服务器可能无响应,即造成拒绝服务。

该漏洞严重等级定为“重大”(Important),编号 CVE-2020-11996。

受影响的软件版本包括:

  • Apache Tomcat 10.0.0-M1 到 10.0.0-M5

  • Apache Tomcat 9.0.0.M1 到 9.0.35

  • Apache Tomcat 8.5.0 到 8.5.55

官方给出的缓解方法:

  • 升级到 Apache Tomcat 10.0.0-M6 或更高版本

  • 升级到 Apache Tomcat 9.0.36 或更高版本

  • 升级到 Apache Tomcat 8.5.56 或更高版本

具体细节可以查看:

  • http://tomcat.apache.org/security-10.html

  • http://tomcat.apache.org/security-9.html

  • http://tomcat.apache.org/security-8.html

 

你中招了没?

 

来源:https://www.oschina.net/news/116728/tomcat-http-2-dos

关于对Apache Tomcat 文件包含高危漏洞开展安全加固的预警通报(1).doc
07-16
漏洞影响Tomcat6、7、8、9 系列多个版本,鉴于该漏洞影响范围大,潜在危害程度高,因此需要采取相应的修复措施。 修复措施包括: 一、尽快将 Tomcat 升级至最新版本https://tomcat.apache.org/)。其中,7....
apache tomcat 集群问题
tuoniaoren的专栏
01-08 444
原理:用apache集中控制管理多个tomcat,达到负载平衡 配置方法: 一,安装apache 二,安装tomcat绿色版(解压形式的tomcat),一台机器上可用安装多个tomcat, 非绿色版,一台机器上只能安装一个tomcat,原因是读取环境变量,而且多个tomcat版本是相同的。 三,在tomcat下webapps下放项目 四,配置该项目的server.xml文件的shutd
修复Apache Tomcat 信息泄露漏洞漏洞编号:CVE-2021-24122
平庸
02-24 1万+
修复Apache Tomcat 信息泄露漏洞漏洞编号:CVE-2021-24122
Apache Tomcat文件包含漏洞复现(详细教程)
最新发布
web15085415935的博客
02-10 1404
TomcatApache开源组织开发的用于处理HTTP服务的项目,两者都是免费的,都可以做为独立的Web服务器运行。Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。Apache Tomcat服务器通过Connector连接器组件与客户程序建立连接,Connector表示接收请求并返回响应的端点。即Connector组件负责接收客户的请求,以及把Tomcat服务器的响应结果发送给客户。
Apache Tomcat安全漏洞列表以及修补建议
Keep learing, and stay fast
08-31 3954
Apache Tomcat安全漏洞列表
Apache Tomcat 文件包含漏洞(CNVD-2020-10487)修复方法
程序员的笔记
02-24 5346
Apache Tomcat 文件包含漏洞(CNVD-2020-10487)修复有以下方法: 1.版本升级,截至2020-2-24,官方公布的已修复该漏洞版本包括: Apache Tomcat 7.0.100Apache Tomcat 8.5.51Apache Tomcat 9.0.31 2.关闭AJPConnector: 修改conf/server.xml配置文件的,删除或注释掉这一行,修...
Tomcat爆出严重漏洞影响所有版本,附解决方案!
xmt1139057136的专栏
02-22 1万+
作者:业余草来源:https://www.xttblog.com/?p=4809昨天,群里聊嗨了。大家都在远程办公,却都急急忙忙的升级线上的 Tomcat 版本,原因就是 Tomcat ...
关于Apache Struts 2软件存在高危漏洞的紧急通报003
10-16
根据温州市网络与信息安全信息通报中心发布的紧急通报(2017年第3期),Apache Struts 2软件中存在一个远程命令执行高危漏洞。此漏洞被正式编号为CVE-2017-5638,它允许攻击者在不受影响的服务器上执行任意命令。受...
《2024攻防演练必修高危漏洞集合》
06-19
值得注意的是,这仅仅是对部分漏洞的介绍,完整的《2024攻防演练必修高危漏洞集合》包含更多详细的信息和建议,可以帮助企业在攻防演练中更好地保护自己的网络安全。 最后,企业应持续关注网络安全领域的最新动态,...
360提示[高危]使用存在漏洞的JQuery版本解决方法
01-19
今天发现360给我发送了一封邮件,发现网站:使用存在漏洞的JQuery版本,黑客可以利用这个漏洞入侵您的网站。 然后到360检测查看了解决办法 但是感觉并没有什么用,而方案二的解决办法又要加群, 博主感觉这是不是...
微软Exchange多个高危漏洞通告 .pdf
09-05
【微软Exchange多个高危漏洞详解】 微软Exchange是企业广泛使用的邮件服务器系统,它为企业提供了高效、安全的电子邮件通信。然而,2021年3月3日,360CERT发布了关于微软Exchange存在多个高危漏洞的风险通告。这些...
Apache Tomcat 数千台服务器面临拒绝服务风险威胁
网络研究观
07-08 2751
远程攻击者可以利用此安全缺陷使易受攻击的系统的计算资源超载,从而损害服务的可用性。
Tomcat一些漏洞的汇总
热门推荐
m0_48108919的博客
03-28 2万+
前言:Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用 服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。 一、Tomcat 任意文件写入(CVE-2017-12615) 1.漏洞介绍 1.1影响范围: Apache Tomcat 7.0.0 - 7.0.81 1.2漏洞原因: Tomcat配置文件/conf/web.xml 配置了可写(readonly=false),导致可以使用PUT方法上传任意文件,攻击者将精心构造的
中间件安全—Tomcat常见漏洞
剁椒鱼头没剁椒的博客
02-22 6937
链接。
Tomcat漏洞详解
m0_64481831的博客
03-06 3731
Tomcat是一种轻量级的web服务器,主要负责运行jsp和Servlet具有任意文件写入漏洞:主要影响7.0-7.8左右,原因是因为配置不当问题(conf/web.xml文件的readonly参数定义为false),导致可以使用PUT方法进行任意文件上传。jsp绕过方法有斜杠绕过、空格绕过和::$DATA绕过(后两者都需要在Windows下)具有文件包含漏洞:主要影响6和8版本,7和9版本有少数;原因是因为AJP协议存在缺陷而导致攻击者可以构造任意参数来进行任意文件包含和读取文件。
tomcat系列漏洞
qq_56150805的博客
05-06 2357
Tomcat 配置了两个Connecto,它们分别是 HTTP 和 AJP :HTTP默认端口为8080,处理http请求,而AJP默认端口8009,用于处理 AJP 协议的请求,而AJP比http更加优化,多用于反向、集群等,漏洞由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。Tomcat 服务器是一个开源的轻量级Web应用服务器,在中小型系统和并发量小的场合下被普遍使用,是开发和调试Servlet、JSP 程序的首选。
sx:快速强大易于使用的现代化网络扫描器
m0_59598029的博客
08-02 448
运行速度比Nmap要快30倍;ARP扫描:支持扫描本地网络以检测活动设备;ICMP扫描:使用高级ICMP扫描技术来检测活动主机和防火墙规则;TCP SYN扫描:传统半开放扫描以查找开放TCP端口;TCP FIN/NULL/XMAS扫描:扫描某些防火墙绕过技术;自定义TCP扫描:发送任意形式数据包,并获得回复数据包中设置的所有TCP标志的结果;UDP扫描:扫描UDP端口并获取全部ICMP响应,以检测开放端口和防火墙规则;
tomcat常见漏洞
qq_46416934的博客
06-18 3514
目录前言一、任意文件上传1.1 影响版本1.2 初始配置1.3 漏洞详情二、CVE-2020-1938?文件包含漏洞2.1 影响版本2.2 漏洞详情三、未授权弱口令+war后门上传总结tomcatapache一样是一个免费的服务器,主要用于jsp框架的网站,可以看作是apache的一个扩展,但是运行的时候和apache属于不同的进程。本文主要介绍tomcat的未授权访问、任意文件上传、文件包含漏洞tomcat 7.0.x --------------cve-2017-12615需要在windows下将配
Struts2高危漏洞补丁:S2-016/S2-017紧急修复文件
针对这两个漏洞,修复措施包括更新到一个安全的Struts2版本,该版本已经修复了ActionMapper组件和DMI功能中发现的安全漏洞。为了修复这些漏洞,开发者和系统管理员需要下载并部署最新版本的Struts2框架。这通常涉及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值