【安全公告】Apache Tomcat WebSocket拒绝服务漏洞（CVE-2020-13935）公告

Tomcat官方于7月份修复了websocket 拒绝服务漏洞(CVE-2020-13935)。

由于WebSocket帧中的攻击载荷长度未正确验证导致，无效的攻击载荷长度可能会触发无限循环，

当出现大量的包含无效攻击载荷长度的请求时，可导致拒绝服务。

近日，漏洞利用代码（exp）已公布，建议受影响的用户及时更新修复，避免攻击风险。

二、 漏洞等级

高危，CVSS评分7.5

三、 受影响版本

Apache Tomcat 10.0.0-M1~10.0.0-M6

Apache Tomcat 9.0.0.M1~9.0.36

Apache Tomcat 8.5.0~8.5.56

Apache Tomcat 7.0.27~7.0.104

四、 修复建议

升级到Apache Tomcat 10.0.0-M7+

升级到Apache Tomcat 9.0.37+

升级到Apache Tomcat 8.5.57+

五、 参考资料