CVE-2019-0199:Apache Tomcat DDOS
0X00漏洞概述
Apache Tomcat HTTP/2拒絕服務漏洞,該漏洞是由于應用服務允許接收大量的配置流量,并且客戶端在沒有讀寫請求的情況下可以長時間保持連接而導致,如果來自客戶端的連接請求過多,最終可導致服務端執行緒耗盡,攻擊者成功利用此漏洞可實作對目標的拒絕服務攻擊,
受影響版本:
9.0.0.M1 < Apache Tomcat < 9.0.14
8.5.0 < Apache Tomcat < 8.5.37
不受影響版本:
Apache Tomcat 9.0.16
Apache Tomcat 8.5.38
0X01版本檢查
通常在Apache Tomcat官網下載的安裝包名稱中會包含有當前Tomcat的版本號,可通過查看解壓后的檔案夾名稱來確定當前的版本,
如果解壓后的Tomcat目錄名稱被修改過,或者通過Windows Service Installer方式安裝,可使用軟體自帶的version模塊來獲取當前的版本,以Windows系統為例,進入tomcat安裝目錄的bin目錄,輸入命令version.bat(Linux系統下輸入version.sh)后,可查看當前的軟體版本號,
0X02漏洞防護
官方在新版本Apache Tomcat 9.0.16、8.5.38中修復了該漏洞,請受影響的用戶盡快升級
下載鏈接https://archive.apache.org/dist/tomcat
注意:建議用戶在升級之前,做好資料和運行環境的備份作業,防止升級帶來系統不可用的風險,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/3955.html
標籤:訊息安全