【风险详情】

近日，Apache官方公开了Apache Tomcat HTTP/2拒绝服务漏洞，该漏洞是由于应用服务允许接收大量的配置流量，并且客户端在没有读写请求的情况下可以长时间保持连接而导致。如果来自客户端的连接请求过多，最终可导致服务端线程耗尽，攻击者成功利用此漏洞可实现对目标的拒绝服务攻击。

【风险评级】

高危

【影响范围】

如下版本存在此漏洞风险：

    0.0.M1 < Apache Tomcat < 9.0.14

    5.0 < Apache Tomcat < 8.5.37

Apache Tomcat安装包名称中包含有当前Tomcat的版本号，直接通过查看解压后的文件夹名称即可确定版本。

【修复建议】

官方在新版本Apache Tomcat 9.0.16、8.5.38中修复了该漏洞，请受影响的用户依据业务需求和实际漏洞影响下载对应安装包进行升级：

    Apache Tomcat 9.0.16：https://tomcat.apache.org/download-90.cgi；

    Apache Tomcat 8.5.38：https://tomcat.apache.org/download-80.cgi。

【参考链接】

https://www.mail-archive.com/announce@apache.org/msg05156.html

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。