vlambda博客
学习文章列表

【风险通告】 Tomcat WebSocket 拒绝服务(EXP公开)

近日,金山云安全应急响应中心监测到,CVE-2020-13935(Apache Tomcat 拒绝服务漏洞)该漏洞的利用代码(EXP)已在互联网上公开,未授权的远程攻击者通过发送大量特制请求包到Tomcat服务器,可造成服务器停止响应并无法提供正常服务。


该漏洞能直接对使用 WebSocket 的Tomcat服务器造成影响,请相关用户尽快将Tomcat升级到最新版本,做好资产自查工作,避免遭受不必要的损失。


漏洞描述


Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Microsystems提供的技术规范,实现了对ServletJavaServer PageJSP)的支持,并提供了作为Web服务器的一些特有功能。


Apache Tomcat WebSocket帧中的有效负载长度未正确验证,无效的有效载荷长度可能会触发无限循环,多有效负载长度无效的请求可能会导致拒绝服务。



风险等级


高危


影响版本


Apache Tomcat  9.0.0.M1 - 9.0.36

Apache Tomcat  10.0.0-M1 - 10.0.0-M6

Apache Tomcat  8.5.0 - 8.5.56

Apache Tomcat  7.0.27 - 7.0.104


修复建议


1. 升级至安全版本

· 升级到Apache Tomcat 10.0.0-M7+

· 升级到Apache Tomcat 9.0.37+

· 升级到Apache Tomcat 8.5.57+


2. 临时修复建议

· 针对非必要服务停用 WebSocket


参考链接


[1]https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.37


[2]https://blog.redteam-pentesting.de/2020/websocket-vulnerability-tomcat/


[3]https://github.com/RedTeamPentesting/CVE-2020-13935





北京金山云网络技术有限公司

2020/11/06