漏洞标题
N/A
漏洞描述信息
CVE-2019-0199的修复是不完整的,并无法解决Apache Tomcat 9.0.0.M1到9.0.19以及8.5.0到8.5.40中写入时HTTP/2连接窗口耗尽的问题。通过未向连接窗口(流0)发送WINDOW_UPDATE消息,客户端能够导致服务器端线程阻塞,最终导致线程耗尽和DDoS。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The fix for CVE-2019-0199 was incomplete and did not address HTTP/2 connection window exhaustion on write in Apache Tomcat versions 9.0.0.M1 to 9.0.19 and 8.5.0 to 8.5.40 . By not sending WINDOW_UPDATE messages for the connection window (stream 0) clients were able to cause server-side threads to block eventually leading to thread exhaustion and a DoS.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Apache Tomcat 资源管理错误漏洞
漏洞描述信息
Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。 Apache Tomcat 9.0.0.M1版本至9.0.19版本和8.5.0版本至8.5.40版本中存在安全漏洞。攻击者可利用该漏洞造成拒绝服务(线程耗尽)。
CVSS信息
N/A
漏洞类别
资源管理错误