tomcat:写入时,HTTP/2 connection window耗尽,CVE-2019-0199的不完整修复(CVE-2019-10072)

漏洞描述

CVE-2019-0199的修复程序不完整,并且在Apache Tomcat版本9.0.0.M1到9.0.19和8.5.0到8.5.40中没有解决写入时的HTTP/2 connection window耗尽问题。通过不为连接窗口(流0)发送WINDOW_UPDATE消息,客户端能够导致服务器端线程阻塞,最终导致线程耗尽和Du / ! } 2 r ? !oS。

tomcat:写入时,HTTP/2 connection window耗尽,CVE-2019-0199的不完整修复(CVE-2019-10072)

基本信息

CVE编号: CVE-2019-10072i ) k P ? ; v

漏洞类型: 未知

危险等级: 低危

披露时间: 2019-06-m i 3 1 : 521

cvss3评分:

cvss3因子, j p j p t 4

修复建议

参考链接

http://www.securityfocus.Q b } G P S A U ,com/bid/108874

https://listse k d.apache.org/thread.html/df1a2c1b87c8a6c500ecd^ . } G C 6bbaf134c7f1491c8d79d98b48c6b9f0fa6a@%3Cannounce@ X J.tomcat.apache.org%3E

https://security.netapp.com/advisory/ntap-20190625-{ ] 4 = U I0002/

https://www.synology.com/security/advisory/Sf + hynology_SA_19_29