1. 首页>
  2. 资讯中心

【PoC公开】Apache Tomcat WebSocket拒绝服务漏洞PoC公开风险提示(CVE-2020-13935)

腾讯云 2020年11月09日 浏览1100

    新闻 资讯 腾讯云代理 腾讯云直播申请 游戏上云

摘要:

尊敬的腾讯云用户,您好!

近日,腾讯云安全运营中心监测到,Apache Tomcat WebSocket拒绝服务漏洞(漏洞编号:CVE-2020-13935)PoC已公开,Apache官方在2020年7月14日披露了该漏洞,腾讯云已关注到并发布了风险通告
本次通告标识漏洞利用工具已公开,为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞详情
Apache Tomcat WebSocket拒绝服务漏洞是由于WebSocket帧中的攻击载荷长度未正确验证导致,无效的攻击载荷长度可能会触发无限循环,如果有大量的包含无效攻击载荷长度的请求发生,可能会导致拒绝服务。

风险等级
中风险

漏洞风险
攻击者发送大量特定请求导致在影响版本范围内的使用Websocket协议的Tomcat服务器无法响应

影响版本
Apache Tomcat 10.0.0-M1至10.0.0-M6
Apache Tomcat 9.0.0.M1至9.0.36
Apache Tomcat 8.5.0至8.5.56
Apache Tomcat 7.0.27至7.0.104

修复版本
Apache Tomcat 10.0.0-M7或更高版本
Apache Tomcat 9.0.37或更高版本
Apache Tomcat 8.5.57或更高版本

修复建议
1)官方已发布漏洞修复版本,检查您的Tomcat服务器是否在受影响版本范围
2)检查你的网站或系统是否使用到Websocket协议
3)如受影响,请你选择合理时间进行升级操作,升级到修复版本,避免影响业务。
【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外
漏洞参考


相关文章

腾讯云服务器

为企业提供:云服务器/视频/游戏/微信开发/软件/网站/APP…云解决方案

  • QQ群咨询:377986805 咨询电话:15818558013
  • 技术支持:0755-33940501-808 17603077568
  • 产品咨询:0755-33940501-803 15818558013