CVE-2019-0199:Apache TomcatのDDOS
0X00の脆弱性の概要
Apache TomcatのHTTP /アプリケーション・サービスにおけるサービスの脆弱性の2拒否が原因流量の設定に大量の受信を許可され、クライアントは、接続が長時間とリードのために維持することができる場合で要求を読み書きしません。クライアントからの接続要求があまりにも、最終的にはサーバスレッドにつながる可能性がある場合は、成功したサービス拒否攻撃の目標を達成するためにこの脆弱性を悪用し、攻撃者がなくなります。
影響を受けるバージョン:
9.0.0.M1 <Apache Tomcatの<9.0.14
8.5.0 <Apache Tomcatの<8.5.37
非影響を受けるバージョン:
Apache Tomcatの9.0.16
Apache Tomcatの8.5.38
0X01バージョンチェック
通常、現在のTomcatバージョンの名前が含まれていますインストールパッケージをダウンロードするためのApache Tomcatの公式サイトでは、現在のバージョンは、フォルダ名を表示した後、ファイルを抽出することによって決定することができます。
解凍Tomcatのディレクトリ名は、Windowsサービスインストーラの道を経由して変更またはインストールされた後の場合は、Windowsシステムの現在のバージョンを取得するには、バージョンモジュールに付属のソフトウェアを使用することができ、例えば、インストールディレクトリTomcatのbinディレクトリに移動コマンドのバージョンを入力します。 (Linuxシステムversion.sh入力).BATた後、現在のソフトウェアバージョン番号を表示します。
0X02の脆弱性保護
公式の修正Apache Tomcatの9.0.16,8.5.38の新バージョンに脆弱性、影響を受けたユーザーは、できるだけ早くアップグレードします
ダウンロードリンクhttps://archive.apache.org/dist/tomcat
注:私たちは、アップグレードする前にユーザーに推薦するバックアップジョブのデータや動作環境を作り、リスクシステムのエスカレーションを防ぐためには使用できません。