Apache Tomcat WebSocket拒绝服务漏洞 (CVE-2020-13935) 预警

一、基本情况

近日，监测发现到国外安全厂商公开了Apache Tomcat WebSocket拒绝服务漏洞（CVE-2020-13935）的相关POC代码，未授权的远程攻击者通过发送大量特制请求包到Tomcat服务器 ,可造成服务器停止响应并无法提供正常服务。目前，厂商已发布最新版本修复该漏洞，建议受影响用户尽快升级版本，做好资产自查以及预防工作，以免遭受黑客攻击。

二、漏洞等级

高危

三、漏洞详情

Apache Tomcat是Apache软件基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page（JSP）的支持，并提供了作为Web服务器的一些特有功能，如Tomcat管理和控制平台、安全域管理和Tomcat附加组件等。

该漏洞由于未能对WebSocket帧中的有效负载长度进行校验，未授权的远程攻击者通过发送大量特制请求包到Tomcat服务器 ,可造成服务器停止响应并无法提供正常服务。

四、影响范围

Apache Tomcat 10.0.0-M1~10.0.0-M6

Apache Tomcat 9.0.0.M1~9.0.36

Apache Tomcat 8.5.0~8.5.56

Apache Tomcat 7.0.27~7.0.104

五、处置建议

建议受影响用户及时升级到指定版本修复该漏洞，下载链接：

http://tomcat.apache.org

六、参考链接

1、https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.37

2、https://blog.redteam-pentesting.de/2020/websocket-vulnerability-tomcat

3、https://github.com/RedTeamPentesting/CVE-2020-13935

支持单位：

深信服科技股份有限公司

北京天融信科技有限公司

中国信息通信研究院

声明：本文来自网络安全威胁信息共享平台，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。