SouthChinaAgriculturalUniversity

信息网络中心
信息化建设工作办公室
数据中心

安全公告

【风险通告】Apache Tomcat WebSocket拒绝服务漏洞EXP公开,黑客攻击即将到来

2020年7月14日,Apache官方通报了Apache Tomcat 两个拒绝服务漏洞:CVE-2020-13934、CVE-2020-13935,并发布安全更新。


2020年11月5日,国内有关安全团队注意到该漏洞的利用代码(EXP)已在互联网上公开。这意味着,黑客的攻击利用即将到来,建议受影响的用户尽快升级安装到安全版本,避免不必要的损失


Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能。


漏洞描述


CVE-2020-13934,Apache Tomcat HTTP / 2拒绝服务,漏洞等级为中等。

 

h2c直接连接未在发布后释放HTTP / 1.1处理器升级到HTTP / 2。如果有足够数量的此类请求,发生OutOfMemoryException可能导致拒绝服务。

 

CVE-2020-13935,WebSocket拒绝服务漏洞,漏洞等级为重要。

 

Apache Tomcat WebSocket帧中的有效负载长度未正确验证,无效的有效载荷长度可能会触发无限循环,多有效负载长度无效的请求可能会导致拒绝服务。


漏洞编号


CVE-2020-13934

CVE-2020-13935

 

漏洞等级


重要级

 

受影响的版本

 

Apache Tomcat 10.0.0-M1~10.0.0-M6

Apache Tomcat 9.0.0.M1~9.0.36

Apache Tomcat 8.5.0~8.5.56

Apache Tomcat 7.0.27~7.0.104

 

 

    解决方案   

  

-升级到Apache Tomcat 10.0.0-M7+

-升级到Apache Tomcat 9.0.37+

-升级到Apache Tomcat 8.5.57+