漏洞信息
# Apache Tomcat:HTTP/2标头处理程序DoS
## 概述
Apache Tomcat 在处理 HTTP/2 请求时,由于对输入验证不当,导致拒绝服务(DoS)漏洞。当请求超出任何配置的头部限制时,相关的 HTTP/2 流不会立即重置,直到所有头部都已被处理完毕。
## 影响版本
- 11.0.0-M1 至 11.0.0-M16
- 10.1.0-M1 至 10.1.18
- 9.0.0-M1 至 9.0.85
- 8.5.0 至 8.5.98
## 细节
当处理 HTTP/2 请求时,如果请求中的头部超过配置的限制(如头部大小、数量等),Apache Tomcat 不会立即重置相关 HTTP/2 流,而是等待所有头部被处理完毕。这种延迟重置可能导致服务器资源被大量消耗,从而引发拒绝服务攻击。
## 影响
此漏洞可能导致服务器资源被恶意利用,导致服务不可用或性能严重下降。建议用户升级到版本 11.0.0-M17、10.1.19、9.0.86 或 8.5.99 以修复此问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Apache Tomcat: HTTP/2 header handling DoS
漏洞描述信息
Denial of Service due to improper input validation vulnerability for HTTP/2 requests in Apache Tomcat. When processing an HTTP/2 request, if the request exceeded any of the configured limits for headers, the associated HTTP/2 stream was not reset until after all of the headers had been processed.This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.0-M16, from 10.1.0-M1 through 10.1.18, from 9.0.0-M1 through 9.0.85, from 8.5.0 through 8.5.98.
Users are recommended to upgrade to version 11.0.0-M17, 10.1.19, 9.0.86 or 8.5.99 which fix the issue.
CVSS信息
N/A
漏洞类别
输入验证不恰当
漏洞标题
Apache Tomcat 输入验证错误漏洞
漏洞描述信息
Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。 Apache Tomcat存在输入验证错误漏洞,该漏洞源于HTTP/2请求的输入验证不正确,会导致拒绝服务。
CVSS信息
N/A
漏洞类别
输入验证错误