| 風險等級: | 低度威脅 |
| 摘 要: | 弱點通告:Apache Tomcat 發布安全更新,建議請管理者儘速評估更新,以降低受駭風險! |
| 影響系統: |
|
| 解決辦法: | 請參考 Apache 官網並依建議方式處理 更新到Apache Tomcat 10.0.0-M7或更高版本 http://tomcat.apache.org/security-10.html 更新到Apache Tomcat 9.0.37或更高版本 http://tomcat.apache.org/security-9.html 更新到Apache Tomcat 8.5.57或更高版本 http://tomcat.apache.org/security-8.html |
| 細節描述: | Apache 近期發布安全更新,以解決產品 Tomcat 中多個安全性弱點。(1) HTTP/DoS 的可能性: 將 HTTP/1.1 升級到 HTTP/2 後,h2c 將可直接連接未釋放的 HTTP/1.1。如果發出了足夠數量的此類請求,可能會發生 OutOfMemoryException 錯誤,並且可能會發生阻斷服務攻擊,而駭客可以利用這些弱點來控制受影響的系統。(2)通過 WebSocket 進行 DoS 的可能性: WebSocket 的有效負載長度未正確驗證。有效負載長度不正確會導致無限循環。多個無效的負載長度可能會發生阻斷服務攻擊,而駭客可以利用這些弱點來控制受影響的系統。 |
| 參考 資訊: |
US-CERT Apache(CVE-2020-13934) Apache(CVE-2020-13935) |