关于ApacheTomcat DoS漏洞的预警通报

近日，Apache官方公开了ApacheTomcat HTTP/2拒绝服务漏洞。该漏洞编号：CVE-2019-0199，安全级别为“高危”。由于ApacheTomcat使用范围较广，因此负面影响较大。现将事件详情通报如下：

一、漏洞情况

Tomcat是Apache软件基金会中的一个重要项目，Tomcat性能稳定而且免费，是目前较为流行的Web应用服务器。官方此次公开的ApacheTomcatHTTP/2拒绝服务漏洞，是由于Tomcat应用服务允许接收大量的配置流量，且客户端在没有读写请求的情况下可以长时间保持连接而导致。如果来自客户端的连接请求过多，最终可导致服务端线程耗尽，攻击者成功利用此漏洞可实现对目标的拒绝服务攻击。

二、影响范围

9.0.0.M1< Apache Tomcat < 9.0.14；

8.5.0< Apache Tomcat < 8.5.37。

三、处置建议

Apache官方在新版本ApacheTomcat 8.5.38、9.0.16中修复了该漏洞，请有关用户尽快升级。

附件：补丁链接:

https://www.mail-archive.com/announce@apache.org/msg05156.html