发布时间:2020-11-11 16:40:30,来源:深信服、天融信、中国信通院
一、基本情况
近日,监测发现到国外安全厂商公开了Apache Tomcat WebSocket拒绝服务漏洞(CVE-2020-13935)的相关POC代码,未授权的远程攻击者通过发送大量特制请求包到Tomcat服务器 ,可造成服务器停止响应并无法提供正常服务。目前,厂商已发布最新版本修复该漏洞,建议受影响用户尽快升级版本,做好资产自查以及预防工作,以免遭受黑客攻击。
二、漏洞等级
高危
三、漏洞详情
Apache Tomcat是Apache软件基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全域管理和Tomcat附加组件等。
该漏洞由于未能对WebSocket帧中的有效负载长度进行校验,未授权的远程攻击者通过发送大量特制请求包到Tomcat服务器 ,可造成服务器停止响应并无法提供正常服务。
四、影响范围
Apache Tomcat 10.0.0-M1~10.0.0-M6
Apache Tomcat 9.0.0.M1~9.0.36
Apache Tomcat 8.5.0~8.5.56
Apache Tomcat 7.0.27~7.0.104
五、处置建议
建议受影响用户及时升级到指定版本修复该漏洞,下载链接:http://tomcat.apache.org
六、参考链接
1、https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.37
2、https://blog.redteam-pentesting.de/2020/websocket-vulnerability-tomcat
3、https://github.com/RedTeamPentesting/CVE-2020-13935