漏洞情报|Apache Tomcat WebSocket拒绝服务漏洞PoC公开风险通告(CVE-2020-13935)

2020-11-09 6,377

近日,腾讯云安全运营中心监测到Apache Tomcat WebSocket拒绝服务漏洞(漏洞编号:CVE-2020-13935)PoC已公开,Apache官方在2020年7月14日披露了该漏洞,腾讯云已关注到并发布了风险通告

本次通告标识漏洞利用工具已公开,为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞详情

Apache Tomcat WebSocket拒绝服务漏洞是由于WebSocket帧中的攻击载荷长度未正确验证导致,无效的攻击载荷长度可能会触发无限循环,如果有大量的包含无效攻击载荷长度的请求发生,可能会导致拒绝服务。

风险等级

中风险

漏洞风险

攻击者发送大量特定请求导致在影响版本范围内的使用Websocket协议的Tomcat服务器无法响应。

影响版本

Apache Tomcat 10.0.0-M1至10.0.0-M6

Apache Tomcat 9.0.0.M1至9.0.36

Apache Tomcat 8.5.0至8.5.56

Apache Tomcat 7.0.27至7.0.104

修复版本

Apache Tomcat 10.0.0-M7或更高版本

Apache Tomcat 9.0.37或更高版本

Apache Tomcat 8.5.57或更高版本

修复建议

1)官方已发布漏洞修复版本,检查您的Tomcat服务器是否在受影响版本范围

2)检查你的网站或系统是否使用到Websocket协议

3)如受影响,请你选择合理时间进行升级操作,升级到修复版本,避免影响业务。

【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外

漏洞参考

1)CVE-2020-13935:https://www.openwall.com/lists/oss-security/2020/07/14/3

本文作者:YDclub

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/145525.html

Tags:
评论  (0)
快来写下你的想法吧!

YDclub

文章数:82 积分: 214

我们正努力成为云上安全的技术领导者~

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号