開源界最近很熱鬧啊,各個主流軟件或框架漏洞頻發,比如像 Struts2、FastJSON、Dubbo、Redis、Tomcat 等都存在各種各樣的漏洞。
不要使用含有漏洞的組件每次也都被評為 OWASP 10 大安全漏洞之一。
光這半年以來,棧長知道的,通過公眾號Java技術棧發布的就有 Dubbo、FastJSON、Tomcat:
2020年06月23日:
最新!Dubbo 遠程代碼執行漏洞通告,速度升級:
https://mp.weixin.qq.com/s/t9GgYangGAeFTwtQA_dVfA
2020年05月28日:
Fastjson 又出高危漏洞,可遠程執行代碼:
https://mp.weixin.qq.com/s/ybyHWA7JN-YyR7WUoCqEUQ
2020年02月20日:
Tomcat AJP 協議漏洞:
https://mp.weixin.qq.com/s/SWKbpOHCyK7ZPc6AokaHGw
前段時間這個 Tomcat AJP 協議漏洞大躁,2020/06/25 這天 Tomcat 又爆出 HTTP/2 拒絕服務漏洞:
這是一封來自 Apache 官方安全團隊的郵件,已通過 Apache Tomcat 用戶郵件公開報告了此問題,郵件中介紹了 HTTP/2 拒絕服務漏洞的各方面細節及解決方案。
漏洞名稱: Apache Tomcat HTTP/2 拒絕服務漏洞
漏洞編號: CVE-2020-11996
嚴重程度: 重要
軟件提供商: Apache 軟件基金會
受影響的版本:
- Apache Tomcat 10.0.0-M1 ~ 10.0.0-M5
- Apache Tomcat 9.0.0.M1 ~ 9.0.35
- Apache Tomcat 8.5.0 ~ 8.5.55
漏洞描述:
一個特別制作的 HTTP/2 請求序列,在短短數秒內能導致 CPU 滿負載率,如果有足夠數量多的此類請求連接(HTTP/2)並發打在服務器上,服務器可能會失去響應。
解決方案:
- 升級到 Apache Tomcat 10.0.0-M6+
- 升級到 Apache Tomcat 9.0.36+
- 升級到 Apache Tomcat 8.5.56+
升級到對應的版本即可,另外,從官方揭示的信息來看,Tomcat 8.5 以下版本不受影響,是因為 Tomcat 8.5+才開始有了對 HTTP/2 的支持吧。
相關閱讀:
參考:
[1] http://tomcat.apache.org/security-10.html
[2] http://tomcat.apache.org/security-9.html
[3] http://tomcat.apache.org/security-8.html
HTTP/2 拒絕服務漏洞還算好,因為 Tomcat 中默認使用 HTTP/1.1 協議,如果你們沒有用 HTTP/2 那就沒問題,如果開啟了就要注意升級了。
關注公眾號Java技術棧,棧長將繼續關注並分享此類最新漏洞,你們關注的也是我關心的。
關注公眾號Java技術棧回復"面試"獲取我整理的2020最全面試題及答案。
推薦去我的博客閱讀更多:
2.Spring MVC、Spring Boot、Spring Cloud 系列教程
3.Maven、Git、Eclipse、Intellij IDEA 系列工具教程
覺得不錯,別忘了點贊+轉發哦!