【预警通报】关于Apache Tomcat WebSocket拒绝服务 漏洞的预警通报
近日,Apache Tomcat WebSocket存在拒绝服务漏洞被披露,远程攻击者可通过发送大量特殊构造的请求包触发无限循环,导致拒绝服务。漏洞编号:CVE-2020-13935,安全级别为“高危”。
一、漏洞情况
在低版本的Tomcat中,源于系统未正确验证WebSocket帧中的有效负载长度,攻击者可通过发送多个无效长度WebSocket帧的请求触发无限循环,最终导致拒绝服务。目前已经监测到可稳定触发拒绝服务(DOS)的EXP。
二、影响范围
10.0.0-M1 <= Apache Tomcat <= 10.0.0-M6;
9.0.0.M1 <= Apache Tomcat <= 9.0.36;
8.5.0 <= Apache Tomcat <= 8.5.56;
7.0.27 <= Apache Tomcat <= 7.0.104。
三、处置建议
请广大用户升级Tomcat至最新版本进行漏洞修复。
附件:参考链接:https://tomcat.apache.org