【安全公告】Apache Tomcat WebSocket拒绝服务漏洞(CVE-2020-13935)公告
Tomcat官方于7月份修复了websocket 拒绝服务漏洞(CVE-2020-13935)。
由于WebSocket帧中的攻击载荷长度未正确验证导致,无效的攻击载荷长度可能会触发无限循环,
当出现大量的包含无效攻击载荷长度的请求时,可导致拒绝服务。
近日,漏洞利用代码(exp)已公布,建议受影响的用户及时更新修复,避免攻击风险。
二、 漏洞等级
高危,CVSS评分7.5
三、 受影响版本
Apache Tomcat 10.0.0-M1~10.0.0-M6
Apache Tomcat 9.0.0.M1~9.0.36
Apache Tomcat 8.5.0~8.5.56
Apache Tomcat 7.0.27~7.0.104
四、 修复建议
升级到Apache Tomcat 10.0.0-M7+
升级到Apache Tomcat 9.0.37+
升级到Apache Tomcat 8.5.57+
五、 参考资料
https://s.tencent.com/research/bsafe/1172.html
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.37