【高危】- Apache Tomcat 拒绝服务漏洞风险通告 (CVE-2020-13935等)
■ 漏洞描述
Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能。
Apache官方通报了Apache Tomcat 两个拒绝服务漏洞:CVE-2020-13934、CVE-2020-13935,并已发布安全更新。
CVE-2020-13934
Apache Tomcat HTTP / 2拒绝服务,漏洞等级为中等;如果请求数过多会发生OutOfMemoryException(内存不足异常),导致拒绝服务。
CVE-2020-13935
WebSocket拒绝服务漏洞,漏洞等级为重要。Apache Tomcat WebSocket中的载荷长度未正确验证,无效的载荷长度可能会触发无限循环,导致拒绝服务。
■ 影响范围
Apache Tomcat 10.0.0-M1~10.0.0-M6
Apache Tomcat 9.0.0.M1~9.0.36
Apache Tomcat 8.5.0~8.5.56
Apache Tomcat 7.0.27~7.0.104
■ 漏洞检测
检测方法:
1、查看系统版本。
■ 漏洞修复
升级到安全版本:
Apache Tomcat 10.0.0-M7+
Apache Tomcat 9.0.37+
Apache Tomcat 8.5.57+
https://tomcat.apache.org/download-10.cgi
■ 漏洞详情
https://vas.riskivy.com/vuln-detail?id=45
Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能。
Apache官方通报了Apache Tomcat 两个拒绝服务漏洞:CVE-2020-13934、CVE-2020-13935,并已发布安全更新。
CVE-2020-13934
Apache Tomcat HTTP / 2拒绝服务,漏洞等级为中等;如果请求数过多会发生OutOfMemoryException(内存不足异常),导致拒绝服务。
CVE-2020-13935
WebSocket拒绝服务漏洞,漏洞等级为重要。Apache Tomcat WebSocket中的载荷长度未正确验证,无效的载荷长度可能会触发无限循环,导致拒绝服务。
■ 影响范围
Apache Tomcat 10.0.0-M1~10.0.0-M6
Apache Tomcat 9.0.0.M1~9.0.36
Apache Tomcat 8.5.0~8.5.56
Apache Tomcat 7.0.27~7.0.104
■ 漏洞检测
检测方法:
1、查看系统版本。
■ 漏洞修复
升级到安全版本:
Apache Tomcat 10.0.0-M7+
Apache Tomcat 9.0.37+
Apache Tomcat 8.5.57+
https://tomcat.apache.org/download-10.cgi
■ 漏洞详情
https://vas.riskivy.com/vuln-detail?id=45