Apache Tomcat HTTP/2 DoS 漏洞，影响多个版本-低调大师

Apache Tomcat HTTP/2 DoS 漏洞，影响多个版本

2020-06-26 1055

Apache Tomcat 安全团队报告了一个 Tomcat HTTP/2 DoS 漏洞。

HTTP/2 请求的特制序列可能会在数秒内引发较高的 CPU 使用率，如果有足够数量的此类请求在并发 HTTP/2 连接上进行连接时，服务器可能无响应，即造成拒绝服务。

该漏洞严重等级定为“重大”（Important），编号 CVE-2020-11996。

受影响的软件版本包括：

Apache Tomcat 10.0.0-M1 到 10.0.0-M5
Apache Tomcat 9.0.0.M1 到 9.0.35
Apache Tomcat 8.5.0 到 8.5.55

官方给出的缓解方法：

升级到 Apache Tomcat 10.0.0-M6 或更高版本
升级到 Apache Tomcat 9.0.36 或更高版本
升级到 Apache Tomcat 8.5.56 或更高版本

具体细节可以查看：

http://tomcat.apache.org/security-10.html
http://tomcat.apache.org/security-9.html
http://tomcat.apache.org/security-8.html

微信关注我们

原文链接：https://www.oschina.net/news/116728/tomcat-http-2-dos

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

每日一博 | 再启程，Service Mesh 前路虽长，尤可期许

前言几乎所有人都在说 Service Mesh；貌似没人知道怎么落地 Service Mesh；但是大家都觉得其他人在大力做 Service Mesh；所以大家都宣称自己在做 Service Mesh。上面只是开一个玩笑，但是从某种程度反映了一些实际情况：Service Mesh 是一种设计思想和理念，而不是具体的架构或者实现方式，虽然 Istio+Envoy 的配置似乎已经成了事实标准，当我们环顾四周，却发现理想太丰满，现实太骨感，因为各企业当前切实原因，导致各种形态的 Service Mesh 百花齐放。蚂蚁金服的 Service Mesh 就属于上面提到的百花齐放中的一员，我们已经渡过探索期，全面进入生产应用。去年的双十一完成了交易支付核心链路，几十万容器规模的生产级验证。但是业界对于 Service Mesh 仍然有很多种不同的声音，一方面是众星捧月式的支持，另一方面是困惑和质疑，包括对价值、架构以及性能的质疑。那么我们对此是什么态度？双十一深度实践之后蚂蚁金服的 Service Mesh 路又在何方？Service Mesh 架构是终点吗？本文将结合蚂蚁金服内部实际场...

2020-06-26

1178

微软与哈佛大学OpenDP Initiative 合作研发并开源了首个用于差分隐私的平台。这项工作已持续了将近一年，去年九月，微软首席数据分析管 John Kahan 曾宣布项目的开展：“我们需要找到一种分析数据的方式，以释放数据的全部潜力，同时又不冒拥有数据者隐私的风险。” 差分隐私（differential privacy）这一概念由来自微软研究院的 Cynthia Dwork 和哈佛大学计算机科学教授 Gordon McKay 共同研究数年，并于 2006 年提出。它能够做到在不泄露个体隐私信息的情况下，对整体数据集进行分析，得出有效结论，并防止差分攻击。这主要是通过添加误差或噪音来实现。适量的噪音会被添加到统计结果中，以掩盖单个数据点的贡献。通过差分隐私保护手段，任何人都无法从数据集中推断出任何特定的个人信息，甚至无法判断特定个人是否包含在数据集里。该项技术仍处于发展阶段，微软表示开源平台对于技术的日趋成熟和广泛使用都非常重要。“大型且开放的数据集具有超出想象的潜力，而差分隐私平台为人们贡献、协作和利用这些数据铺平了道路”。 OpenDP 平台现已开源，可用于测试及构建。目...

2020-06-26

1236

资源下载

更多资源

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。

WebStorm

WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScript IDE”等。与IntelliJ IDEA同源，继承了IntelliJ IDEA强大的JS部分的功能。