Apache Tomcat HTTP/2 拒絕服務(wù)攻擊漏洞CVE-2020-11996如何理解

Apache Tomcat HTTP/2 拒絕服務(wù)攻擊漏洞CVE-2020-11996如何理解，針對這個(gè)問題，這篇文章詳細(xì)介紹了相對應(yīng)的分析和解答，希望可以幫助更多想解決這個(gè)問題的小伙伴找到更簡單易行的方法。

0x00 漏洞背景

2020年06月29日， 360CERT監(jiān)測發(fā)現(xiàn) apache 官方 發(fā)布了 Tomcat http/2 拒絕服務(wù)攻擊 的風(fēng)險(xiǎn)通告，該漏洞編號為 CVE-2020-11996，漏洞等級：中危。

Tomcat是由Apache軟件基金會下屬的Jakarta項(xiàng)目開發(fā)的一個(gè)Servlet容器，按照Sun Microsystems提供的技術(shù)規(guī)范，實(shí)現(xiàn)了對Servlet和JavaServer Page（JSP）的支持，并提供了作為Web服務(wù)器的一些特有功能，如Tomcat管理和控制平臺、安全域管理和Tomcat閥等。

通過惡意構(gòu)造的HTTP/2請求序列可能會在幾秒鐘內(nèi)觸發(fā)高CPU使用率。如果在并發(fā)HTTP/2連接上發(fā)出足夠數(shù)量的此類請求，服務(wù)器可能會變得無響應(yīng)。

對此，360CERT建議廣大用戶及時(shí)安裝最新補(bǔ)丁，做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

0x01 風(fēng)險(xiǎn)等級

360CERT對該漏洞的評定結(jié)果如下

0x02 漏洞詳情

通過惡意構(gòu)造的HTTP/2請求序列可能會在幾秒鐘內(nèi)觸發(fā)高CPU使用率。如果在并發(fā)HTTP/2連接上發(fā)出足夠數(shù)量的此類請求，服務(wù)器可能會變得無響應(yīng)。

0x03 影響版本

• Apache Tomcat : 10.0.0-M1 to 10.0.0-M5

• Apache Tomcat : 9.0.0.M1 to 9.0.35

• Apache Tomcat : 8.5.0 to 8.5.55

0x04 修復(fù)建議

通用修補(bǔ)建議：

• Apache Tomcat 10.0.0-M1 to 10.0.0-M5 版本用戶升級到 10.0.0-M6 或更高版本，下載地址為：
  https://tomcat.apache.org/download-10.cgi

• Apache Tomcat 9.0.0.M1 to 9.0.35 版本用戶升級到 9.0.36 或更高版本，下載地址為：
  https://tomcat.apache.org/download-90.cgi

• Apache Tomcat 8.5.0 to 8.5.55 版本用戶升級到 8.5.56 或更高版本，下載地址為：
  https://tomcat.apache.org/download-80.cgi

0x05 相關(guān)空間測繪數(shù)據(jù)

360安全大腦-Quake網(wǎng)絡(luò)空間測繪系統(tǒng)通過對全網(wǎng)資產(chǎn)測繪，發(fā)現(xiàn)Apache Tomcat在 全球 均有廣泛使用，具體分布如下圖所示。

0x06 產(chǎn)品側(cè)解決方案

360城市級網(wǎng)絡(luò)安全監(jiān)測服務(wù)

360安全大腦的QUAKE資產(chǎn)測繪平臺通過資產(chǎn)測繪技術(shù)手段，對該類漏洞進(jìn)行監(jiān)測，請用戶聯(lián)系相關(guān)產(chǎn)品區(qū)域負(fù)責(zé)人獲取對應(yīng)產(chǎn)品。

關(guān)于Apache Tomcat HTTP/2 拒絕服務(wù)攻擊漏洞CVE-2020-11996如何理解問題的解答就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關(guān)注億速云行業(yè)資訊頻道了解更多相關(guān)知識。