Apache Tomcat HTTP/2 GOAWAY sérülékenysége – National Cyber-Security Center of Hungary

NBSZ-NKI website

Apache Tomcat HTTP/2 GOAWAY sérülékenysége

2017. április 11. 11:04

CH azonosító

CH-13979

Angol cím

Apache Tomcat HTTP/2 GOAWAY Vulnerability

Felfedezés dátuma

2017.04.10.

Súlyosság

Érintett rendszerek

Apache Software Foundation
Tomcat

Érintett verziók

8.5.0 to 8.5.12, 9.0.0.M1 to 9.0.0.M18

Összefoglaló

Az Apache Tomcat közepes kockázati besorolású sérülékenysége vált ismertté, amely túlzott erőforrás-felhasználást eredményez a célrendszer tekintetében.

Leírás

A hiba speciálisan elkészített HTTP/2-es kérések segítségével idézhető elő, ezáltal a HTTPS/2 GOAWAY keretek feldolgozásakor a rendszer felhasználhatja a szerver összes erőforrását.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Deny of service (Szolgáltatás megtagadás)

Hatás

Loss of availability (Elérhetőség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: securitytracker.com
CVE-2017-5650 - NVD CVE-2017-5650

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2025-3928 – Commvault Web Server Unspecified sérülékenysége

CVE-2025-3248 – Langflow Missing Authentication sérülékenysége

CVE-2024-58136 – Yiiframework Yii Improper Protection of Alternate Path sérülékenysége

CVE-2025-34028 – Commvault Command Center Path Traversal sérülékenysége

CVE-2023-44221 – SonicWall SMA100 Appliances OS Command Injection sérülékenysége

CVE-2024-38475 – Apache HTTP Server Improper Escaping of Output sérülékenysége

CVE-2025-24132 – Apple AirPlay sebezhetősége

CVE-2025-31330 – SAP Landscape Transformation sebezhetősége

CVE-2025-27429 – SAP sebezhetősége

Tovább a sérülékenységekhez »

Ugrás a tetejére