【高危】- Tomcat WebSocket 拒绝服务漏洞通告(CVE-2020-13935 )
■ 漏洞描述
Tomcat WebSokcet存在拒绝服务漏洞,该漏洞编号为 CVE-2020-13935 。Tomcat 未针对 WebSokcet 进行包长度校验,特制的 WebSocket 请求包将导致处理函数无限循环,最终导致服务停机并拒绝服务。该漏洞EXP已经公开,并能直接对使用 WebSocket 的Tomcat服务器造成影响,请及时将 Tomcat 升级到安全版本。
■ 影响范围
9.0.0.M1~9.0.36
10.0.0-M1~10.0.0-M6
8.5.0~8.5.56
7.0.27~7.0.104
■ 漏洞检测
1、查看tomcat版本;
2、是否开启websocket功能。
■ 漏洞修复
升级 Tomcat 版本、Tomcat新版下载地址:
http://tomcat.apache.org/
■ 临时修复
针对非必要服务停用WebSocket
■ 漏洞详情
https://mp.weixin.qq.com/s/FFhtwlWUEY8DskTM-Nvc7g
Tomcat WebSokcet存在拒绝服务漏洞,该漏洞编号为 CVE-2020-13935 。Tomcat 未针对 WebSokcet 进行包长度校验,特制的 WebSocket 请求包将导致处理函数无限循环,最终导致服务停机并拒绝服务。该漏洞EXP已经公开,并能直接对使用 WebSocket 的Tomcat服务器造成影响,请及时将 Tomcat 升级到安全版本。
■ 影响范围
9.0.0.M1~9.0.36
10.0.0-M1~10.0.0-M6
8.5.0~8.5.56
7.0.27~7.0.104
■ 漏洞检测
1、查看tomcat版本;
2、是否开启websocket功能。
■ 漏洞修复
升级 Tomcat 版本、Tomcat新版下载地址:
http://tomcat.apache.org/
■ 临时修复
针对非必要服务停用WebSocket
■ 漏洞详情
https://mp.weixin.qq.com/s/FFhtwlWUEY8DskTM-Nvc7g