2020-11-09 15:04:10 Author: www.secpulse.com(查看原文) 阅读量:298 收藏
近日,腾讯云安全运营中心监测到,Apache Tomcat WebSocket拒绝服务漏洞(漏洞编号:CVE-2020-13935)PoC已公开,Apache官方在2020年7月14日披露了该漏洞,腾讯云已关注到并发布了风险通告。
漏洞详情
Apache Tomcat WebSocket拒绝服务漏洞是由于WebSocket帧中的攻击载荷长度未正确验证导致,无效的攻击载荷长度可能会触发无限循环,如果有大量的包含无效攻击载荷长度的请求发生,可能会导致拒绝服务。
风险等级
漏洞风险
攻击者发送大量特定请求导致在影响版本范围内的使用Websocket协议的Tomcat服务器无法响应。
影响版本
Apache Tomcat 10.0.0-M1至10.0.0-M6
Apache Tomcat 9.0.0.M1至9.0.36
Apache Tomcat 8.5.0至8.5.56
Apache Tomcat 7.0.27至7.0.104
修复版本
Apache Tomcat 10.0.0-M7或更高版本
Apache Tomcat 9.0.37或更高版本
Apache Tomcat 8.5.57或更高版本
修复建议
1)官方已发布漏洞修复版本,检查您的Tomcat服务器是否在受影响版本范围
2)检查你的网站或系统是否使用到Websocket协议
3)如受影响,请你选择合理时间进行升级操作,升级到修复版本,避免影响业务。
【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外
漏洞参考
1)CVE-2020-13935:https://www.openwall.com/lists/oss-security/2020/07/14/3
本文作者:云鼎实验室
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/145525.html
如有侵权请联系:admin#unsafe.sh