首页 > 清静研究 > 清静转达 > 清静通告

CVE-2020-11996 | Apache Tomcat HTTP/2拒绝效劳误差通告

宣布时间 2020-06-29

0x00 误差概述

CVE ID

CVE-2020-11996

时间

2020-06-29

类型

DOS

等级

高危

远程使用

是

影响规模

Apache Tomcat 10.0.0-M1至10.0.0-M5

Apache Tomcat 9.0.0.M1至9.0.35

Apache Tomcat 8.5.0至8.5.55

0x01 误差详情

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

Apache Tomcat是美国阿帕奇（Apache）软件基金会的一款轻量级Web应用效劳器。。。该程序实现了对Servlet和JavaServer Page（JSP）的支持，，，，，，，是开发和调试JSP 程序的首选。。。Apache只支持静态网页，，，，，，，但像php,cgi,jsp等动态网页就需要Tomcat来处置惩罚。。。

2020年6月25日，，，，，，，Apache官方宣布清静通告，，，，，，，修复了一个Apache Tomcat中的HTTP/2拒绝效劳误差（CVE-2020-11996）。。。该误差源于恶意的HTTP/2请求序列可能会导致长达几秒钟的CPU高使用率，，，，，，，攻击者通过发送大宗的此类请求来使用此误差，，，，，，，导致效劳器拒绝响应，，，，，，，从而实现DoS攻击。。。

0x02 处置惩罚建议

该误差影响Apache Tomcat 10.0.0-M1至10.0.0-M5版本、9.0.0.M1至9.0.35版本和8.5.0至8.5.55版本，，，，，，，官方已宣布最新版本，，，，，，，请相关用户实时升级，，，，，，，详情如下：

1. Apache Tomcat 10.0.0-M1至10.0.0-M5 版本的用户请升级到10.0.0-M6或更高版本，，，，，，，下载地点：https://tomcat.apache.org/download-10.cgi

2. Apache Tomcat 9.0.0.M1至9.0.35 版本的用户请升级到9.0.36或更高版本，，，，，，，下载地点：https://tomcat.apache.org/download-90.cgi

3. Apache Tomcat 8.5.0至8.5.55 版本的用户请升级到8.5.56或更高版本，，，，，，，下载地点：https://tomcat.apache.org/download-80.cgi

0x03 相关新闻

https://www.tenable.com/cve/CVE-2020-11996

0x04 参考链接

https://lists.apache.org/thread.html/r5541ef6b6b68b49f76fc4c45695940116da2bcbe0312ef204a00a2e0%40%3Cannounce.tomcat.apache.org%3E

http://mail-archives.us.apache.org/mod_mbox/www-announce/202006.mbox/%3Cfd56bc1d-1219-605b-99c7-946bf7bd8ad4%40apache.org%3E

0x05 时间线

2020-06-25 Apache宣布清静通告

2020-06-29 VSRC宣布误差通告

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

CVE-2020-11996 | Apache Tomcat HTTP/2拒绝效劳误差通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线