Apache Tomcat HTTP/2 远程拒绝服务高危漏洞(CVE-2019-0199)

背景信息:

2019年3月26日,监测到Apache Tomcat近日发布安全更新,披露了1个远程拒绝服务的漏洞:CVE-2019-0199,开启HTTP/2的Apache Tomcat可被远程拒绝服务攻击。

漏洞描述:

Apache Tomcat在实现HTTP/2时允许接受大量的SETTINGS帧的配置流量,并且客户端在没有读写请求的情况下可以长时间保持连接。如果来自客户端的连接请求过多,最终可导致服务端线程耗尽而DoS。

漏洞定级:

高危

漏洞影响范围:

开启HTTP/2协议功能且版本如下:

  1. 9.0.0.M1 < Apache Tomcat < 9.0.14
  2. 8.5.0 < Apache Tomcat < 8.5.37

漏洞不影响范围:

  1. Apache Tomcat 9.0.16
  2. Apache Tomcat 8.5.38
  3. Apache Tomcat 7.x
  4. Apache Tomcat 6.x

漏洞处置建议:

禁用HTTP/2或升级至安全版本。

扩展知识引用:

http://tomcat.apache.org/security-9.html

我要评论!

想一个你喜欢的昵称。
给一个你的常用邮箱。
想和萌萌哒的TA们说点啥。
  • 漏洞描述: 2018年3月29日,Drupal官方发布新补丁和安全公告,宣称Drupal 6.x,7.x,8.x等多个子版本存在远程代码执行漏洞,攻击者可以利用Drupal网站漏洞执行代码,导致网站被完全控制。 漏洞定级: 高危 漏洞影响范围: Drupal 6.x版本,7.x版本,8.x版本 解决...
  • 漏洞描述: Vim 和 NeoVim 曝出了一个允许任意代码执行的高危漏洞。漏洞编号 CVE-2019-12735。 漏洞位于编辑器的 modelines 功能中,该功能允许用户指定窗口大小和其它定制选项,modelines 限制了沙盒内可用的指令,但安全研究员 Armin Razmjou 发现 s...
  • 漏洞描述: 2017年10月2日, 由Google安全团队发现的多个DNSMASQ安全漏洞被披露。其中漏洞编号为 CVE-2017-14491、CVE-2017-14492、CVE-2017-14493 的三个漏洞被相关厂商标记为严重等级, 剩余编号为 CVE-2017-14494、CVE-2017...
  • 漏洞描述: 2018年4月26日,Drupal官方发布新补丁和安全公告,宣称Drupal 7,8等多个子版本存在远程代码执行漏洞,攻击者可以利用Drupal网站漏洞,需要登录且有删除权限后触发执行恶意代码,导致网站被完全控制。 漏洞影响范围: Drupal 7.x版本、8.4.x版本、8.5.x版本...
  • 背景信息: 2019年2月20日,有国外安全研究人员披露WordPress存在远程代码执行漏洞,拥有Author发布文章权限的攻击者,可在目标 WordPress站点服务器执行任意PHP代码。 漏洞描述: 由于没有安全检查,文章作者更新图片时,edit_post()函数会被触发,该函数直接处理了$_...
微信扫一扫即可带走我!