当前位置:首页 > 漏洞预警 > 正文

Tomcat 拒绝服务漏洞(CVE-2020-11996)预警

发布时间:2020-06-30 10:25:16,来源:深信服、中国信息通信研究院、

      一、漏洞分析

      (一)Tomcat 组件介绍

Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,是开发和调试JSP 程序的首选。

(二) 漏洞描述

近日,Tomcat官方公开一个Tomcat 拒绝服务漏洞,CVE编号为CVE-2020-11996。通过发送一个精心构造的HTTP 2.0 请求,可以在数秒之内极大的占用服务器的CPU资源。如果并发足够数量的该请求,服务器可能因为耗尽CPU资源而停止响应。

二、影响范围

目前受影响的Tomcat版本:

Apache Tomcat 10.0.0-M1 - 10.0.0-M5

Apache Tomcat 9.0.0.M1 - 9.0.35

Apache Tomcat 8.5.0 - 8.5.55

三、处置建议

官方已经针对此漏洞发布最新版本,请受影响的用户下载最新版本的Tomcat服务器进行漏洞防御,下载链接:

https://tomcat.apache.org/download-10.cgi

https://tomcat.apache.org/download-90.cgi

https://tomcat.apache.org/download-80.cgi

四、参考链接

http://tomcat.apache.org/security-10.html