一、概要

近日， Apache官方發(fā)布了一則關(guān)于Tomcat HTTP/2的安全公告，當(dāng)中披露一個重要級別的DOS漏洞（CVE-2019-0199）。在支持HTTP/2的Tomcat 版本（8.5.0 到 8.5.37、9.0.0.M1 到 9.0.14 ）中，由于應(yīng)用服務(wù)允許接收大量的配置流量，并且客戶端在沒有讀寫請求的情況下可以長時間保持連接而導(dǎo)致。如果來自客戶端的連接請求過多，最終可導(dǎo)致服務(wù)端線程耗盡，攻擊者成功利用此漏洞可實現(xiàn)對目標的拒絕服務(wù)攻擊。

華為云提醒各位租戶及時安排自檢并做好安全加固。

利用漏洞：CVE-2019-0199

參考鏈接：

https://www.mail-archive.com/announce@apache.org/msg05156.html

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急。）

三、影響范圍

Apache Tomcat 8.5.0 to 8.5.37

Apache Tomcat 9.0.0.M1 to 9.0.14

四、修復(fù)方案

官方已在新版本Apache Tomcat 8.5.38、9.0.16中修復(fù)了該漏洞，請受影響的租戶盡快升級

Apache Tomcat 8.5.38 下載鏈接：https://tomcat.apache.org/download-80.cgi

Apache Tomcat 9.0.16 下載鏈接：https://tomcat.apache.org/download-90.cgi

注意：修復(fù)漏洞前請將資料備份，并進行充分測試。