Apache Tomcat 發布安全更新

風險等級: 低度威脅
摘 要: 弱點通告:Apache Tomcat 發布安全更新,建議請管理者儘速評估更新,以降低受駭風險!
影響系統:
  • Apache Tomcat 10.0.0-M1 至 10.0.0-M6 版本
  • Apache Tomcat 9.0.0.M1 至 9.0.36 版本
  • Apache Tomcat 8.5.0 至 8.5.56 版本
  • Apache Tomcat 7.0.27 至 7.0.104 版本
解決辦法: 請參考 Apache 官網並依建議方式處理 更新到Apache Tomcat 10.0.0-M7或更高版本
http://tomcat.apache.org/security-10.html 更新到Apache Tomcat 9.0.37或更高版本
http://tomcat.apache.org/security-9.html 更新到Apache Tomcat 8.5.57或更高版本
http://tomcat.apache.org/security-8.html
細節描述: Apache 近期發布安全更新,以解決產品 Tomcat 中多個安全性弱點。(1) HTTP/DoS 的可能性: 將 HTTP/1.1 升級到 HTTP/2
後,h2c 將可直接連接未釋放的 HTTP/1.1。如果發出了足夠數量的此類請求,可能會發生 OutOfMemoryException
錯誤,並且可能會發生阻斷服務攻擊,而駭客可以利用這些弱點來控制受影響的系統。(2)通過 WebSocket 進行 DoS 的可能性:
WebSocket 的有效負載長度未正確驗證。有效負載長度不正確會導致無限循環。多個無效的負載長度可能會發生阻斷服務攻擊,而駭客可以利用這些弱點來控制受影響的系統。
參考
資訊:
US-CERT
Apache(CVE-2020-13934)
Apache(CVE-2020-13935)