Apache Tomcat WebSocket拒绝服务漏洞PoC公开风险通告（CVE-2020-13935）

2020-11-09 14:35:31 【大中小】

近日，腾讯云安全运营中心监测到，Apache Tomcat WebSocket拒绝服务漏洞（漏洞编号：CVE-2020-13935）PoC已公开，Apache官方在2020年7月14日披露了该漏洞，腾讯云已关注到并发布了风险通告。

本次通告标识漏洞利用工具已公开，为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

Apache Tomcat WebSocket拒绝服务漏洞是由于WebSocket帧中的攻击载荷长度未正确验证导致，无效的攻击载荷长度可能会触发无限循环，如果有大量的包含无效攻击载荷长度的请求发生，可能会导致拒绝服务。

风险等级

中风险

漏洞风险

攻击者发送大量特定请求导致在影响版本范围内的使用Websocket协议的Tomcat服务器无法响应。

影响版本

Apache Tomcat 10.0.0-M1至10.0.0-M6

Apache Tomcat 9.0.0.M1至9.0.36

Apache Tomcat 8.5.0至8.5.56

Apache Tomcat 7.0.27至7.0.104

修复版本

Apache Tomcat 10.0.0-M7或更高版本

Apache Tomcat 9.0.37或更高版本

Apache Tomcat 8.5.57或更高版本

修复建议

1）官方已发布漏洞修复版本，检查您的Tomcat服务器是否在受影响版本范围

2）检查你的网站或系统是否使用到Websocket协议

3）如受影响，请你选择合理时间进行升级操作，升级到修复版本，避免影响业务。

【备注】：建议您在安装补丁前做好数据备份工作，避免出现意外.

安全播报