Apache Software Foundation 發布了 Apache Tomcat 8 及 9 的新版本以應對於 HTTP/2 中的一個漏洞。攻擊者可攻擊這個漏洞,導致伺服器端線程耗盡(thread exhaustion)。
成功利用這個漏洞可以在受影響的系統上導致服務受阻斷。
Apache Software Foundation 發行了有關產品的新版本以應對以上問題。用戶可從以下網址下載:
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.41
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.20
http://mail-archives.us.apache.org/mod_mbox/www-announce/201906.mbox/%3Cca69531a-1592-be7b-60ce-729549c7f812%40apache.org%3E
https://www.hkcert.org/my_url/zh/alert/19062105
https://www.us-cert.gov/ncas/current-activity/2019/06/20/Apache-Releases-Security-Advisory-Apache-Tomcat
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10072