一、概要

近日华为云监测到Apache Tomcat官方发布安全公告，披露特定Tomcat版本存在HTTP/2拒绝服务漏洞，特殊构造的HTTP/2 请求在可几秒钟内触发较高的CPU使用率，如果构造足够数量的特殊并发请求，可能导致服务器无响应。

华为云提醒使用Apache Tomcat的用户及时安排自检并做好安全加固。

详情请参考链接：

http://tomcat.apache.org/security-10.html

http://tomcat.apache.org/security-9.html

http://tomcat.apache.org/security-8.html

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

如果使用了HTTP/2协议，并且tomcat版本在以下版本范围内，则受该漏洞影响：

Apache Tomcat 10.0.0-M1 to 10.0.0-M5

Apache Tomcat 9.0.0.M1 to 9.0.35

Apache Tomcat 8.5.0 to 8.5.55

安全版本：

Apache Tomcat 10.0.0-M6或者更高版本

Apache Tomcat 9.0.36或者更高版本

Apache Tomcat 8.5.56或者更高版本

四、漏洞处置

目前，官方已在新版本中修复了该漏洞，请受影响的用户升级到安全版本：

下载地址：

https://tomcat.apache.org/download-10.cgi

https://tomcat.apache.org/download-90.cgi

https://tomcat.apache.org/download-80.cgi

注：修复漏洞前请将资料备份，并进行充分测试。