1、漏洞背景描述
近日,互联网上公开了Tomcat WebSocket拒绝服务漏洞(CVE-2020-13935)的利用代码。 在受影响版本内且开启WebSocket的Tomcat存在拒绝服务攻击风险。赛尔网络安全服务团队建议相关用户尽快安装补丁或进行版本升级。
2、漏洞概述
Apache Tomcat是美国阿帕奇(Apache)软件基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。
Apache Tomcat中的WebSocket存在安全漏洞,该漏洞源于程序没有正确验证payload的长度。攻击者可利用该漏洞造成拒绝服务(无限循环)。
3、漏洞风险
攻击者可利用该漏洞造成拒绝服务。
4、漏洞影响
Apache Tomcat >=10.0.0-M1,<=10.0.0-M6
Apache Tomcat >=9.0.0.M1,<=9.0.36
Apache Tomcat >=8.5.0,<=8.5.56
Apache Tomcat >=7.0.27,<=7.0.104
5、修复建议
目前,厂商已发布升级补丁以修复漏洞,赛尔安全服务团队建议相关用户尽快安装补丁或进行版本升级。
补丁链接:
https://lists.apache.org/thread.html/rd48c72bd3255bda87564d4da3791517c074d94f8a701f93b85752651%40%3Cannounce.tomcat.apache.org%3E
参考链接:
https://www.debian.org/security/2020/dsa-4727
https://blog.redteam-pentesting.de/2020/websocket-vulnerability-tomcat/