CVE-2020-11996: Apache Tomcat HTTP/2 拒絕服務攻擊漏洞通告
360-CERT [三六零CERT](javascript:void(0)😉 昨天
0x00 漏洞背景
2020年06月29日, 360CERT監測發現 apache 官方 發佈了 Tomcat http/2 拒絕服務攻擊 的風險通告,該漏洞編號爲 CVE-2020-11996,漏洞等級:中危。
Tomcat是由Apache軟件基金會下屬的Jakarta項目開發的一個Servlet容器,按照Sun Microsystems提供的技術規範,實現了對Servlet和JavaServer Page(JSP)的支持,並提供了作爲Web服務器的一些特有功能,如Tomcat管理和控制平臺、安全域管理和Tomcat閥等。
通過惡意構造的HTTP/2請求序列可能會在幾秒鐘內觸發高CPU使用率。如果在併發HTTP/2連接上發出足夠數量的此類請求,服務器可能會變得無響應。
對此,360CERT建議廣大用戶及時安裝最新補丁,做好資產自查以及預防工作,以免遭受黑客攻擊。
0x01 風險等級
360CERT對該漏洞的評定結果如下
| 評定方式 | 等級 |
|---|---|
| 威脅等級 | 中危 |
| 影響面 | 廣泛 |
0x02 漏洞詳情
通過惡意構造的HTTP/2請求序列可能會在幾秒鐘內觸發高CPU使用率。如果在併發HTTP/2連接上發出足夠數量的此類請求,服務器可能會變得無響應。
0x03 影響版本
- Apache Tomcat : 10.0.0-M1 to 10.0.0-M5
- Apache Tomcat : 9.0.0.M1 to 9.0.35
- Apache Tomcat : 8.5.0 to 8.5.55
0x04 修復建議
通用修補建議:
Apache Tomcat 10.0.0-M1 to 10.0.0-M5版本用戶升級到10.0.0-M6或更高版本,下載地址爲:
https://tomcat.apache.org/download-10.cgiApache Tomcat 9.0.0.M1 to 9.0.35版本用戶升級到9.0.36或更高版本,下載地址爲:
https://tomcat.apache.org/download-90.cgiApache Tomcat 8.5.0 to 8.5.55版本用戶升級到8.5.56或更高版本,下載地址爲:
https://tomcat.apache.org/download-80.cgi
0x05 相關空間測繪數據
360安全大腦-Quake網絡空間測繪系統通過對全網資產測繪,發現Apache Tomcat在 全球 均有廣泛使用,具體分佈如下圖所示。
0x06 產品側解決方案
360城市級網絡安全監測服務
360安全大腦的QUAKE資產測繪平臺通過資產測繪技術手段,對該類漏洞進行監測,請用戶聯繫相關產品區域負責人獲取對應產品。
0x07 時間線
2020-06-25 Apache官方發佈通告
2020-06-29 360CERT發佈通告
0x08 參考鏈接
CVE-2020-11996 Apache Tomcat HTTP/2 Denial of Service
[http://mail-archives.apache.org/mod_mbox/www-announce/202006.mbox/%[email protected]%3E]
轉載自https://mp.weixin.qq.com/s/uVDSL6DuBUKCa6Op5tTnGg