在 Tomcat Servlet 和 JSP 引擎中發現數個安全性弱點。

CVE-2020-13934

升級至 HTTP/2 後，h2c 直接連線至 Apache Tomcat 並未釋放 HTTP/1.1 處理器。如果提出足夠數量的此類要求，可能會發生 OutOfMemoryException，進而導致拒絕服務。

CVE-2020-13935

在 Apache Tomcat 中，未正確驗證 WebSocket 框架中的承載長度。無效承載長度可觸發無限迴圈。
多個具有無效承載長度的要求可造成拒絕服務。

針對 Debian 9「Stretch」，已在 8.5.54-0+deb9u3 版本中修正這些問題。

我們建議您升級 tomcat8 套件。

如需有關 tomcat8 安全性狀態的詳細資訊，請參閱其安全追蹤頁面：
https://security-tracker.debian.org/tracker/tomcat8

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

偵測

Debian DLA-2286-1：tomcat8 安全性更新

high Nessus Plugin ID 138859

版本 1.8