CVE-2019-0199:Apache Tomcat DDOS漏洞
漏洞简介
Apache Tomcat HTTP/2拒绝服务漏洞,该漏洞是由于应用服务允许接受大量的配置流量,并且客户端在没有读写请求的情况下可以长时间保持连接从而导致漏洞,如果客户端连接请求过多,将会占用服务器线程,攻击者可利用此漏洞实施拒绝服务攻击。
受影响版本:
9.0.0.M1 < Apache Tomcat < 9.0.14
8.5.0 < Apache Tomcat < 8.5.37
不受影响版本:
Apache Tomcat 9.0.16
Apache Tomcat 8.5.38
版本检测
在apache tomcat官网下载的安装包名称都会包含当前版本号,不过也可以解压后查看文件夹名称来判断版本。
如果Tomcat目录名称被修改过,可以利用软件自带的version魔窟啊来获取当前的版本,进入目录执行version.bat即可查看当前版本:
漏洞防护
官方在新版本Apache Tomcat 9.0.16、8.5.38中修复了该漏洞,用户可以升级到不受影响版本。
下载链接https://archive.apache.org/dist/tomcat
注意:建议用户在升级之前,做好数据和运行环境的备份工作,防止升级带来系统不可用的风险。