Apache Software Foundation 发布了 Apache Tomcat 8 及 9 的新版本以应对于 HTTP/2 中的一个漏洞。攻击者可攻击这个漏洞,导致伺服器端线程耗尽(thread exhaustion)。
成功利用这个漏洞可以在受影响的系统上导致服务受阻断。
Apache Software Foundation 发行了有关产品的新版本以应对以上问题。用户可从以下网址下载:
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.41
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.20
http://mail-archives.us.apache.org/mod_mbox/www-announce/201906.mbox/%3Cca69531a-1592-be7b-60ce-729549c7f812%40apache.org%3E
https://www.hkcert.org/my_url/zh/alert/19062105
https://www.us-cert.gov/ncas/current-activity/2019/06/20/Apache-Releases-Security-Advisory-Apache-Tomcat
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10072