漏洞概述

　　近日，官方公开了Apache Tomcat HTTP/2拒绝服务漏洞，该漏洞是由于应用服务允许接收大量的配置流量，并且客户端在没有读写请求的情况下可以长时间保持连接而导致。如果来自客户端的连接请求过多，最终可导致服务端线程耗尽，攻击者成功利用此漏洞可实现对目标的拒绝服务攻击。

　　Tomcat是Apache软件基金会中的一个重要项目，性能稳定且免费，是目前较为流行的Web应用服务器。由于Tomcat应用范围较广，因此此次通告的漏洞影响范围较大，请相关企业引起关注。国内在公网开放的Tomcat资产数量超过60万之多。

受影响版本

• 0.0.M1 < Apache Tomcat < 9.0.14
• 5.0 < Apache Tomcat < 8.5.37

不受影响版本

• Apache Tomcat 9.0.16
• Apache Tomcat 8.5.38

版本升级

　　官方在新版本Apache Tomcat 9.0.16、8.5.38中修复了该漏洞，请受影响的用户尽快升级，最新版下载链接可参考以下列表，可根据具体的系统环境下载对应的安装包：

注意：建议用户在升级之前，做好数据和运行环境的备份工作，防止升级带来系统不可用的风险。