【安全通报】Tomcat 拒绝服务漏洞

Tomcat是Apache 软件基金会（Apache Software Foundation）的Jakarta 项目中的一个核心项目，由Apache、Sun 和其他一些公司及个人共同开发而成。

Tomcat 服务器是一个免费的开放源代码的Web 应用服务器，属于轻量级应用服务器，是开发和调试JSP 程序的首选。

近日，Tomcat 官方公开一个 Tomcat 拒绝服务漏洞，CVE-2020-11996。通过发送一个精心构造的HTTP 2.0 请求，可以在数秒之内极大的占用服务器的CPU资源。攻击者如果并发足够数量的该请求，服务器可能因为耗尽CPU资源而停止响应。

CVE编号

CVE-2020-11996

影响范围

• 10.0.0-M1 to 10.0.0-M5
• 9.0.0.M1 to 9.0.35
• 8.5.0 to 8.5.55

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="Apache-Tomcat"）共有 2,741,231 个相关服务对外开放。中国使用数量最多，共有 580,374 个；美国第二，共有 332,000 个；德国第三，共有 51,707 个；巴西第四，共有 50,836 个；印度第五，共有 37,131 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区浙江使用数量最多，共有 363,945 个；北京第二，共有 162,949 个；广东第三，共有 71,569 个，上海第四，共有 45,439 个；江苏第五，共有 38,472 个。

漏洞环境——Vulfocus

目前 Vulfocus 已经集成 CVE-2020-11996 环境，可通过 docker pull vulfocus/tomcat-cve_2020_11996 进行拉取运行，可也通过 http://vulfocus.fofa.so/ 进行测试。

修复建议

• Apache Tomcat 10.0.0-M1 to 10.0.0-M5 版本用户升级到 10.0.0-M6 或更高版本，下载地址为：https://tomcat.apache.org/download-10.cgi
• Apache Tomcat 9.0.0.M1 to 9.0.35 版本用户升级到 9.0.36 或更高版本，下载地址为：https://tomcat.apache.org/download-90.cgi
• Apache Tomcat 8.5.0 to 8.5.55 版本用户升级到 8.5.56 或更高版本，下载地址为：https://tomcat.apache.org/download-80.cgi

参考

[1] http://tomcat.apache.org/security-10.html

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。