网络安全
安全预警
首页  >  网络安全  >  安全预警  >  正文
关于防范Tomcat WebSocket 拒绝服务漏洞的预警通报

发布时间:2020-12-22 浏览量:

1、漏洞背景描述

近日,互联网上公开了Tomcat WebSocket拒绝服务漏洞(CVE-2020-13935)的利用代码。 在受影响版本内且开启WebSocket的Tomcat存在拒绝服务攻击风险。赛尔网络安全服务团队建议相关用户尽快安装补丁或进行版本升级。

2、漏洞概述

Apache Tomcat是美国阿帕奇(Apache)软件基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。

Apache Tomcat中的WebSocket存在安全漏洞,该漏洞源于程序没有正确验证payload的长度。攻击者可利用该漏洞造成拒绝服务(无限循环)。

3、漏洞风险

攻击者可利用该漏洞造成拒绝服务。

4、漏洞影响

Apache Tomcat >=10.0.0-M1,<=10.0.0-M6

Apache Tomcat >=9.0.0.M1,<=9.0.36

Apache Tomcat >=8.5.0,<=8.5.56

Apache Tomcat >=7.0.27,<=7.0.104

5、修复建议

目前,厂商已发布升级补丁以修复漏洞,赛尔安全服务团队建议相关用户尽快安装补丁或进行版本升级。

补丁链接:

https://lists.apache.org/thread.html/rd48c72bd3255bda87564d4da3791517c074d94f8a701f93b85752651%40%3Cannounce.tomcat.apache.org%3E

参考链接:

https://www.debian.org/security/2020/dsa-4727

https://blog.redteam-pentesting.de/2020/websocket-vulnerability-tomcat/

上一篇:关于Microsoft发布 2020 年 11 月安全更新的预警通报
下一篇:关于防范Apache Shiro 权限绕过漏洞的预警通报