网络安全动态 ·

Apache Tomcat WebSocket拒绝服务漏洞 (CVE-2020-13935) 预警

一、基本情况

近日,监测发现到国外安全厂商公开了Apache Tomcat WebSocket拒绝服务漏洞(CVE-2020-13935)的相关POC代码,未授权的远程攻击者通过发送大量特制请求包到Tomcat服务器 ,可造成服务器停止响应并无法提供正常服务。目前,厂商已发布最新版本修复该漏洞,建议受影响用户尽快升级版本,做好资产自查以及预防工作,以免遭受黑客攻击。

二、漏洞等级

高危

三、漏洞详情

Apache Tomcat是Apache软件基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全域管理和Tomcat附加组件等。

该漏洞由于未能对WebSocket帧中的有效负载长度进行校验,未授权的远程攻击者通过发送大量特制请求包到Tomcat服务器 ,可造成服务器停止响应并无法提供正常服务。

四、影响范围

Apache Tomcat 10.0.0-M1~10.0.0-M6

Apache Tomcat 9.0.0.M1~9.0.36

Apache Tomcat 8.5.0~8.5.56

Apache Tomcat 7.0.27~7.0.104

五、处置建议

建议受影响用户及时升级到指定版本修复该漏洞,下载链接:

http://tomcat.apache.org

六、参考链接

1、https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.37

2、https://blog.redteam-pentesting.de/2020/websocket-vulnerability-tomcat

3、https://github.com/RedTeamPentesting/CVE-2020-13935

支持单位:

深信服科技股份有限公司

北京天融信科技有限公司

中国信息通信研究院

声明:本文来自网络安全威胁信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 2018288588@qq.com。

参与评论