vlambda博客
学习文章列表

【预警通报】关于Apache Tomcat WebSocket拒绝服务 漏洞的预警通报

近日,Apache Tomcat WebSocket存在拒绝服务漏洞被披露,远程攻击者可通过发送大量特殊构造的请求包触发无限循环,导致拒绝服务。漏洞编号:CVE-2020-13935,安全级别为“高危”。

一、漏洞情况



在低版本的Tomcat中,源于系统未正确验证WebSocket帧中的有效负载长度,攻击者可通过发送多个无效长度WebSocket帧的请求触发无限循环,最终导致拒绝服务。目前已经监测到可稳定触发拒绝服务(DOS)的EXP。


二、影响范围



10.0.0-M1 <= Apache Tomcat <= 10.0.0-M6;

9.0.0.M1 <= Apache Tomcat <= 9.0.36;

8.5.0 <= Apache Tomcat <= 8.5.56;

7.0.27 <= Apache Tomcat <= 7.0.104。


三、处置建议



请广大用户升级Tomcat至最新版本进行漏洞修复。

附件:参考链接:https://tomcat.apache.org