预警通报关于Apache Tomcat WebSocket拒绝服务 漏洞的预警通报
Posted 宁夏网警
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了预警通报关于Apache Tomcat WebSocket拒绝服务 漏洞的预警通报相关的知识,希望对你有一定的参考价值。
近日,Apache Tomcat WebSocket存在拒绝服务漏洞被披露,远程攻击者可通过发送大量特殊构造的请求包触发无限循环,导致拒绝服务。漏洞编号:CVE-2020-13935,安全级别为“高危”。
一、漏洞情况
在低版本的Tomcat中,源于系统未正确验证WebSocket帧中的有效负载长度,攻击者可通过发送多个无效长度WebSocket帧的请求触发无限循环,最终导致拒绝服务。目前已经监测到可稳定触发拒绝服务(DOS)的EXP。
二、影响范围
10.0.0-M1 <= Apache Tomcat <= 10.0.0-M6;
9.0.0.M1 <= Apache Tomcat <= 9.0.36;
8.5.0 <= Apache Tomcat <= 8.5.56;
7.0.27 <= Apache Tomcat <= 7.0.104。
三、处置建议
请广大用户升级Tomcat至最新版本进行漏洞修复。
附件:参考链接:https://tomcat.apache.org
以上是关于预警通报关于Apache Tomcat WebSocket拒绝服务 漏洞的预警通报的主要内容,如果未能解决你的问题,请参考以下文章
网警提醒关于Apache Solr Velocity模板远程代码执行漏洞的预警通报
漏洞预警CNNVD 关于Apache Struts 2远程代码执行漏洞的通报
温州市网络与信息安全信息通报中心关于SaltStack软件存在高危漏洞的预警通报