关于Apache Tomcat HTTP/2 DoS（CVE-2019-0199）漏洞的安全预警

一、概要

近日， Apache官方发布了一则关于Tomcat HTTP/2的安全公告，当中披露一个重要级别的DOS漏洞（CVE-2019-0199）。在支持HTTP/2的Tomcat 版本（8.5.0 到 8.5.37、9.0.0.M1 到 9.0.14 ）中，由于应用服务允许接收大量的配置流量，并且客户端在没有读写请求的情况下可以长时间保持连接而导致。如果来自客户端的连接请求过多，最终可导致服务端线程耗尽，攻击者成功利用此漏洞可实现对目标的拒绝服务攻击。

华为云提醒各位租户及时安排自检并做好安全加固。

利用漏洞：CVE-2019-0199

参考链接：

https://www.mail-archive.com/announce@apache.org/msg05156.html

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急。）

 三、影响范围

Apache Tomcat 8.5.0 to 8.5.37

Apache Tomcat 9.0.0.M1 to 9.0.14

 四、修复方案

官方已在新版本Apache Tomcat 8.5.38、9.0.16中修复了该漏洞，请受影响的租户尽快升级

Apache Tomcat 8.5.38 下载链接：https://tomcat.apache.org/download-80.cgi

Apache Tomcat 9.0.16 下载链接：https://tomcat.apache.org/download-90.cgi

 注意：修复漏洞前请将资料备份，并进行充分测试。