一、概要

近日華為云監(jiān)測(cè)到Apache Tomcat官方發(fā)布安全公告，披露特定Tomcat版本存在HTTP/2拒絕服務(wù)漏洞，特殊構(gòu)造的HTTP/2 請(qǐng)求在可幾秒鐘內(nèi)觸發(fā)較高的CPU使用率，如果構(gòu)造足夠數(shù)量的特殊并發(fā)請(qǐng)求，可能導(dǎo)致服務(wù)器無(wú)響應(yīng)。

華為云提醒使用Apache Tomcat的用戶及時(shí)安排自檢并做好安全加固。

詳情請(qǐng)參考鏈接：

http://tomcat.apache.org/security-10.html

http://tomcat.apache.org/security-9.html

http://tomcat.apache.org/security-8.html

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

如果使用了HTTP/2協(xié)議，并且tomcat版本在以下版本范圍內(nèi)，則受該漏洞影響：

Apache Tomcat 10.0.0-M1 to 10.0.0-M5

Apache Tomcat 9.0.0.M1 to 9.0.35

Apache Tomcat 8.5.0 to 8.5.55

安全版本：

Apache Tomcat 10.0.0-M6或者更高版本

Apache Tomcat 9.0.36或者更高版本

Apache Tomcat 8.5.56或者更高版本

四、漏洞處置

目前，官方已在新版本中修復(fù)了該漏洞，請(qǐng)受影響的用戶升級(jí)到安全版本：

下載地址：

https://tomcat.apache.org/download-10.cgi

https://tomcat.apache.org/download-90.cgi

https://tomcat.apache.org/download-80.cgi

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。