【安全风险通告】Apache Tomcat WebSocket拒绝服务漏洞EXP公开
01
—
漏洞背景
2020年7月14日,Apache官方通报了Apache Tomcat 两个拒绝服务漏洞:CVE-2020-13934、CVE-2020-13935,并发布安全更新。
2020年11月5日,该漏洞的利用代码(EXP)已在互联网上公开。这意味着,黑客的攻击利用即将到来。
Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能
02
—
漏洞信息
| 漏洞编号 | 漏洞等级 | 影响版本 |
| CVE-2020-13934 | 中危 |
Apache Tomcat 10.0.0-M1~10.0.0-M6 Apache Tomcat 9.0.0.M1~9.0.36 Apache Tomcat 8.5.0~8.5.56 Apache Tomcat 7.0.27~7.0.104 |
| CVE-2020-13935 |
严重 |
03
—
安全建议
升级到Apache Tomcat 10.0.0-M7+
升级到Apache Tomcat 9.0.37+
升级到Apache Tomcat 8.5.57+