2020年7月14日，Apache官方通报了Apache Tomcat 两个拒绝服务漏洞：CVE-2020-13934、CVE-2020-13935，并发布安全更新。

2020年11月5日，国内有关安全团队注意到该漏洞的利用代码（EXP）已在互联网上公开。这意味着，黑客的攻击利用即将到来，建议受影响的用户尽快升级安装到安全版本，避免不必要的损失。

Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器，按照Sun Microsystems提供的技术规范，实现了对Servlet和JavaServer Page（JSP）的支持，并提供了作为Web服务器的一些特有功能。

漏洞描述

CVE-2020-13934，Apache Tomcat HTTP / 2拒绝服务，漏洞等级为中等。

h2c直接连接未在发布后释放HTTP / 1.1处理器升级到HTTP / 2。如果有足够数量的此类请求，发生OutOfMemoryException可能导致拒绝服务。

CVE-2020-13935，WebSocket拒绝服务漏洞，漏洞等级为重要。

Apache Tomcat WebSocket帧中的有效负载长度未正确验证，无效的有效载荷长度可能会触发无限循环，多有效负载长度无效的请求可能会导致拒绝服务。

重要级

Apache Tomcat 10.0.0-M1~10.0.0-M6

Apache Tomcat 9.0.0.M1~9.0.36

Apache Tomcat 8.5.0~8.5.56

Apache Tomcat 7.0.27~7.0.104

-升级到Apache Tomcat 10.0.0-M7+

-升级到Apache Tomcat 9.0.37+

-升级到Apache Tomcat 8.5.57+