安全公告
【风险通告】Apache Tomcat WebSocket拒绝服务漏洞EXP公开,黑客攻击即将到来
2020年7月14日,Apache官方通报了Apache Tomcat 两个拒绝服务漏洞:CVE-2020-13934、CVE-2020-13935,并发布安全更新。
2020年11月5日,国内有关安全团队注意到该漏洞的利用代码(EXP)已在互联网上公开。这意味着,黑客的攻击利用即将到来,建议受影响的用户尽快升级安装到安全版本,避免不必要的损失。
Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能。
漏洞描述
CVE-2020-13934,Apache Tomcat HTTP / 2拒绝服务,漏洞等级为中等。
h2c直接连接未在发布后释放HTTP / 1.1处理器升级到HTTP / 2。如果有足够数量的此类请求,发生OutOfMemoryException可能导致拒绝服务。
CVE-2020-13935,WebSocket拒绝服务漏洞,漏洞等级为重要。
Apache Tomcat WebSocket帧中的有效负载长度未正确验证,无效的有效载荷长度可能会触发无限循环,多有效负载长度无效的请求可能会导致拒绝服务。
漏洞编号
CVE-2020-13934
CVE-2020-13935
漏洞等级
重要级
受影响的版本
Apache Tomcat 10.0.0-M1~10.0.0-M6
Apache Tomcat 9.0.0.M1~9.0.36
Apache Tomcat 8.5.0~8.5.56
Apache Tomcat 7.0.27~7.0.104
解决方案
-升级到Apache Tomcat 10.0.0-M7+
-升级到Apache Tomcat 9.0.37+
-升级到Apache Tomcat 8.5.57+