【风险通告】 Tomcat WebSocket 拒绝服务(EXP公开)
近日,金山云安全应急响应中心监测到,CVE-2020-13935(Apache Tomcat 拒绝服务漏洞)该漏洞的利用代码(EXP)已在互联网上公开,未授权的远程攻击者通过发送大量特制请求包到Tomcat服务器,可造成服务器停止响应并无法提供正常服务。
该漏洞能直接对使用 WebSocket 的Tomcat服务器造成影响,请相关用户尽快将Tomcat升级到最新版本,做好资产自查工作,避免遭受不必要的损失。
Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能。
Apache Tomcat WebSocket帧中的有效负载长度未正确验证,无效的有效载荷长度可能会触发无限循环,多有效负载长度无效的请求可能会导致拒绝服务。
高危
Apache Tomcat 9.0.0.M1 - 9.0.36
Apache Tomcat 10.0.0-M1 - 10.0.0-M6
Apache Tomcat 8.5.0 - 8.5.56
Apache Tomcat 7.0.27 - 7.0.104
1. 升级至安全版本
· 升级到Apache Tomcat 10.0.0-M7+
· 升级到Apache Tomcat 9.0.37+
· 升级到Apache Tomcat 8.5.57+
2. 临时修复建议
· 针对非必要服务停用 WebSocket
[1]https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.37
[2]https://blog.redteam-pentesting.de/2020/websocket-vulnerability-tomcat/
[3]https://github.com/RedTeamPentesting/CVE-2020-13935
北京金山云网络技术有限公司
2020/11/06