Cảnh báo lỗ hổng từ chối dịch vụ trong Apache Tomcat

DDos

VIP Members
22/10/2013
524
2.191 bài viết
Cảnh báo lỗ hổng từ chối dịch vụ trong Apache Tomcat
Apache Tomcat là một Java Servlet được phát triển bởi Apache Software Foundation (ASF). Tomcat thi hành các ứng dụng Java Servlet và JavaServer Pages (JSP) từ Sun Microsystems, và cung cấp một máy chủ HTTP cho ngôn ngữ Java thuần túy để thực thi các chương trình lệnh viết bằng ngôn ngữ Java. Theo thống kê, Apache Tomcat là máy chủ web HTTP được sử dụng rộng rãi nhất hiện nay.

Gần đây, Apache Tomcat đã phát hành một bản tin bảo mật để cảnh báo lỗ hổng từ chối dịch vụ tồn tại trong các phiên bản của Apache Tomcat (CVE-2020-11996). Lỗ hổng này ảnh hưởng tới các máy chủ triển khai giao thức HTTP/2 ( phiên bản chính thức tiếp theo của giao thức truyền tải siêu văn bản HTTP).

apache-tomcat.png

Trong bản tin bảo mật, Apache Tomcat cho biết:
Một số lượng các yêu cầu HTTP/2 được chế tạo đặc biệt gửi đến server có thể khiển CPU ở trạng thái sử dụng tài nguyên cao. Nếu số lượng yêu cầu như vậy được thực hiện trên các kết nối HTTP/2 đủ lớn và đồng thời, máy chủ có thể không phản hồi dẫn đến tấn công từ chối dịch vụ. Mức độ nguy hiểm của lỗ hổng này nằm ở mức cao.
Các phiên bản bị ảnh hưởng bao gồm:
  • Apache Tomcat 10.0.0-M1 - 10.0.0-M5
  • Apache Tomcat 9.0.0.M1 - 9.0.35
  • Apache Tomcat 8.5.0 - 8.5.55
Hiện tại, Apache Tomcat đã phát hành các phiên bản mới hơn để sửa lỗ hổng này. Người dùng hãy chắc chắn rằng bạn đang sử dụng các phiên bản mới hơn của Apache Tomcat như dưới đây:
  • Apache Tomcat 10.0.0-M6 hoặc mới hơn
  • Apache Tomcat 9.0.36 hoặc mới hơn
  • Apache Tomcat 8.5.56 hoặc mới hơn
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Các phiên bản 7.x không bị ảnh hưởng đúng không ạ?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
apache tomcat cve-2020-11996 tomcat
Bên trên