【预警通报】关于Apache Tomcat WebSocket拒绝服务漏洞的预警通报

经验文章nimo972024-12-17 11:55:5811A⁺A^-

近日，Apache Tomcat WebSocket存在拒绝服务漏洞被披露，远程攻击者可通过发送大量特殊构造的请求包触发无限循环，导致拒绝服务。漏洞编号：CVE-2020-13935，安全级别为“高危”。

一、漏洞情况

在低版本的Tomcat中，源于系统未正确验证WebSocket帧中的有效负载长度，攻击者可通过发送多个无效长度WebSocket帧的请求触发无限循环，最终导致拒绝服务。目前已经监测到可稳定触发拒绝服务（DOS）的EXP。

二、影响范围

10.0.0-M1 <= Apache Tomcat <= 10.0.0-M6；

9.0.0.M1 <= Apache Tomcat <= 9.0.36；

8.5.0 <= Apache Tomcat <= 8.5.56；

7.0.27 <= Apache Tomcat <= 7.0.104。

三、处置建议

请广大用户升级Tomcat至最新版本进行漏洞修复。

附件：参考链接：https://tomcat.apache.org

点击这里复制本文地址以上内容由nimo97整理呈现，请务必在转载分享时注明本文地址！如对内容有疑问，请联系我们，谢谢！

【预警通报】关于Apache Tomcat WebSocket拒绝服务 漏洞的预警通报