一、漏洞详情
近日,有安全厂商公开了Apache Tomcat WebSocket拒绝服务漏洞(CVE-2020-13935)的相关POC代码,未授权的远程攻击者通过发送大量特制请求包到Tomcat服务器 ,可造成服务器停止响应并无法提供正常服务。目前,厂商已发布最新版本修复该漏洞,建议受影响用户尽快升级版本,做好资产自查以及预防工作,以免遭受黑客攻击。
Apache Tomcat是Apache软件基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全域管理和Tomcat附加组件等。
该漏洞由于未能对WebSocket帧中的有效负载长度进行校验,未授权的远程攻击者通过发送大量特制请求包到Tomcat服务器 ,可造成服务器停止响应并无法提供正常服务。
二、影响范围
Apache Tomcat 10.0.0-M1~10.0.0-M6
Apache Tomcat 9.0.0.M1~9.0.36
Apache Tomcat 8.5.0~8.5.56
Apache Tomcat 7.0.27~7.0.104
三、修复建议
建议受影响用户及时升级到指定版本修复该漏洞。
下载链接:http://tomcat.apache.org
