Apache Tomcat HTTP/2 DoS 漏洞，影响多个版本-低调大师

Apache Tomcat HTTP/2 DoS 漏洞，影响多个版本

2020-06-26 997

Apache Tomcat 安全团队报告了一个 Tomcat HTTP/2 DoS 漏洞。

HTTP/2 请求的特制序列可能会在数秒内引发较高的 CPU 使用率，如果有足够数量的此类请求在并发 HTTP/2 连接上进行连接时，服务器可能无响应，即造成拒绝服务。

该漏洞严重等级定为“重大”（Important），编号 CVE-2020-11996。

受影响的软件版本包括：

Apache Tomcat 10.0.0-M1 到 10.0.0-M5
Apache Tomcat 9.0.0.M1 到 9.0.35
Apache Tomcat 8.5.0 到 8.5.55

官方给出的缓解方法：

升级到 Apache Tomcat 10.0.0-M6 或更高版本
升级到 Apache Tomcat 9.0.36 或更高版本
升级到 Apache Tomcat 8.5.56 或更高版本

具体细节可以查看：

http://tomcat.apache.org/security-10.html
http://tomcat.apache.org/security-9.html
http://tomcat.apache.org/security-8.html

微信关注我们

原文链接：https://www.oschina.net/news/116728/tomcat-http-2-dos

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

每日一博 | 再启程，Service Mesh 前路虽长，尤可期许

前言几乎所有人都在说 Service Mesh；貌似没人知道怎么落地 Service Mesh；但是大家都觉得其他人在大力做 Service Mesh；所以大家都宣称自己在做 Service Mesh。上面只是开一个玩笑，但是从某种程度反映了一些实际情况：Service Mesh 是一种设计思想和理念，而不是具体的架构或者实现方式，虽然 Istio+Envoy 的配置似乎已经成了事实标准，当我们环顾四周，却发现理想太丰满，现实太骨感，因为各企业当前切实原因，导致各种形态的 Service Mesh 百花齐放。蚂蚁金服的 Service Mesh 就属于上面提到的百花齐放中的一员，我们已经渡过探索期，全面进入生产应用。去年的双十一完成了交易支付核心链路，几十万容器规模的生产级验证。但是业界对于 Service Mesh 仍然有很多种不同的声音，一方面是众星捧月式的支持，另一方面是困惑和质疑，包括对价值、架构以及性能的质疑。那么我们对此是什么态度？双十一深度实践之后蚂蚁金服的 Service Mesh 路又在何方？Service Mesh 架构是终点吗？本文将结合蚂蚁金服内部实际场...

2020-06-26

1097

微软与哈佛大学OpenDP Initiative 合作研发并开源了首个用于差分隐私的平台。这项工作已持续了将近一年，去年九月，微软首席数据分析管 John Kahan 曾宣布项目的开展：“我们需要找到一种分析数据的方式，以释放数据的全部潜力，同时又不冒拥有数据者隐私的风险。” 差分隐私（differential privacy）这一概念由来自微软研究院的 Cynthia Dwork 和哈佛大学计算机科学教授 Gordon McKay 共同研究数年，并于 2006 年提出。它能够做到在不泄露个体隐私信息的情况下，对整体数据集进行分析，得出有效结论，并防止差分攻击。这主要是通过添加误差或噪音来实现。适量的噪音会被添加到统计结果中，以掩盖单个数据点的贡献。通过差分隐私保护手段，任何人都无法从数据集中推断出任何特定的个人信息，甚至无法判断特定个人是否包含在数据集里。该项技术仍处于发展阶段，微软表示开源平台对于技术的日趋成熟和广泛使用都非常重要。“大型且开放的数据集具有超出想象的潜力，而差分隐私平台为人们贡献、协作和利用这些数据铺平了道路”。 OpenDP 平台现已开源，可用于测试及构建。目...

2020-06-26

1172

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。