服务公告
关于Apache Tomcat HTTP/2 DoS(CVE-2019-0199)漏洞的安全预警
2019-03-28
一、概要
近日, Apache官方发布了一则关于Tomcat HTTP/2的安全公告,当中披露一个重要级别的DOS漏洞(CVE-2019-0199)。在支持HTTP/2的Tomcat 版本(8.5.0 到 8.5.37、9.0.0.M1 到 9.0.14 )中,由于应用服务允许接收大量的配置流量,并且客户端在没有读写请求的情况下可以长时间保持连接而导致。如果来自客户端的连接请求过多,最终可导致服务端线程耗尽,攻击者成功利用此漏洞可实现对目标的拒绝服务攻击。
华为云提醒各位租户及时安排自检并做好安全加固。
利用漏洞:CVE-2019-0199
参考链接:
https://www.mail-archive.com/announce@apache.org/msg05156.html
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急。)
三、影响范围
Apache Tomcat 8.5.0 to 8.5.37
Apache Tomcat 9.0.0.M1 to 9.0.14
四、修复方案
官方已在新版本Apache Tomcat 8.5.38、9.0.16中修复了该漏洞,请受影响的租户尽快升级
Apache Tomcat 8.5.38 下载链接:https://tomcat.apache.org/download-80.cgi
Apache Tomcat 9.0.16 下载链接:https://tomcat.apache.org/download-90.cgi
注意:修复漏洞前请将资料备份,并进行充分测试。