開源界最近很熱鬧啊,各個主流軟件或框架漏洞頻發,比如像 Struts2、FastJSON、Dubbo、Redis、Tomcat 等都存在各種各樣的漏洞。
不要使用含有漏洞的組件每次也都被評爲 OWASP 10 大安全漏洞之一。
光這半年以來,棧長知道的,通過公衆號Java技術棧發佈的就有 Dubbo、FastJSON、Tomcat:
2020年06月23日:
最新!Dubbo 遠程代碼執行漏洞通告,速度升級:
https://mp.weixin.qq.com/s/t9GgYangGAeFTwtQA_dVfA
2020年05月28日:
Fastjson 又出高危漏洞,可遠程執行代碼:
https://mp.weixin.qq.com/s/ybyHWA7JN-YyR7WUoCqEUQ
2020年02月20日:
Tomcat AJP 協議漏洞:
https://mp.weixin.qq.com/s/SWKbpOHCyK7ZPc6AokaHGw
前段時間這個 Tomcat AJP 協議漏洞大躁,2020/06/25 這天 Tomcat 又爆出 HTTP/2 拒絕服務漏洞:
http://mail-archives.apache.org/mod_mbox/www-announce/202006.mbox/%[email protected]%3e
這是一封來自 Apache 官方安全團隊的郵件,已通過 Apache Tomcat 用戶郵件公開報告了此問題,郵件中介紹了 HTTP/2 拒絕服務漏洞的各方面細節及解決方案。
漏洞名稱: Apache Tomcat HTTP/2 拒絕服務漏洞
漏洞編號: CVE-2020-11996
嚴重程度: 重要
軟件提供商: Apache 軟件基金會
受影響的版本:
Apache Tomcat 10.0.0-M1 ~ 10.0.0-M5
Apache Tomcat 9.0.0.M1 ~ 9.0.35
Apache Tomcat 8.5.0 ~ 8.5.55
漏洞描述:
一個特別製作的 HTTP/2 請求序列,在短短數秒內能導致 CPU 滿負載率,如果有足夠數量多的此類請求連接(HTTP/2)併發打在服務器上,服務器可能會失去響應。
解決方案:
升級到 Apache Tomcat 10.0.0-M6+
升級到 Apache Tomcat 9.0.36+
升級到 Apache Tomcat 8.5.56+
升級到對應的版本即可,另外,從官方揭示的信息來看,Tomcat 8.5 以下版本不受影響,是因爲 Tomcat 8.5+纔開始有了對 HTTP/2 的支持吧。
相關閱讀:
HTTP/2 與 HTTP/1 有什麼區別?
HTTP/2 最新漏洞,直指 Kubernetes!
參考:
[1] http://tomcat.apache.org/security-10.html
[2] http://tomcat.apache.org/security-9.html
[3] http://tomcat.apache.org/security-8.html
HTTP/2 拒絕服務漏洞還算好,因爲 Tomcat 中默認使用 HTTP/1.1 協議,如果你們沒有用 HTTP/2 那就沒問題,如果開啓了就要注意升級了。
粉絲專屬福利來啦
↓↓↓
