关于Apache Tomcat WebSocket拒绝服务漏洞的预警提示
发布人:xjzx  发布时间:2020-11-18   浏览次数:10

一、漏洞详情

 

近日,有安全厂商公开了Apache Tomcat WebSocket拒绝服务漏洞(CVE-2020-13935)的相关POC代码,未授权的远程攻击者通过发送大量特制请求包到Tomcat服务器 ,可造成服务器停止响应并无法提供正常服务。目前,厂商已发布最新版本修复该漏洞,建议受影响用户尽快升级版本,做好资产自查以及预防工作,以免遭受黑客攻击。

 

Apache TomcatApache软件基金会的一款轻量级Web应用服务器。该程序实现了对ServletJavaServer PageJSP)的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全域管理和Tomcat附加组件等。

 

该漏洞由于未能对WebSocket帧中的有效负载长度进行校验,未授权的远程攻击者通过发送大量特制请求包到Tomcat服务器 ,可造成服务器停止响应并无法提供正常服务。

 

二、影响范围

 

Apache Tomcat 10.0.0-M1~10.0.0-M6

 

Apache Tomcat 9.0.0.M1~9.0.36

 

Apache Tomcat 8.5.0~8.5.56

 

Apache Tomcat 7.0.27~7.0.104

 

三、修复建议

 

建议受影响用户及时升级到指定版本修复该漏洞。