近日，金山云安全应急响应中心监测到，CVE-2020-13935(Apache Tomcat 拒绝服务漏洞)该漏洞的利用代码（EXP）已在互联网上公开，未授权的远程攻击者通过发送大量特制请求包到Tomcat服务器,可造成服务器停止响应并无法提供正常服务。

该漏洞能直接对使用 WebSocket 的Tomcat服务器造成影响，请相关用户尽快将Tomcat升级到最新版本，做好资产自查工作，避免遭受不必要的损失。

漏洞描述

Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器，按照Sun Microsystems提供的技术规范，实现了对Servlet和JavaServer Page（JSP）的支持，并提供了作为Web服务器的一些特有功能。

Apache Tomcat WebSocket帧中的有效负载长度未正确验证，无效的有效载荷长度可能会触发无限循环，多有效负载长度无效的请求可能会导致拒绝服务。

风险等级

高危

影响版本

Apache Tomcat 9.0.0.M1 - 9.0.36

Apache Tomcat 10.0.0-M1 - 10.0.0-M6

Apache Tomcat 8.5.0 - 8.5.56

Apache Tomcat 7.0.27 - 7.0.104

修复建议

1. 升级至安全版本

· 升级到Apache Tomcat 10.0.0-M7+

· 升级到Apache Tomcat 9.0.37+

· 升级到Apache Tomcat 8.5.57+

2. 临时修复建议

· 针对非必要服务停用 WebSocket

参考链接

[1] https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.37

[2] https://blog.redteam-pentesting.de/2020/websocket-vulnerability-tomcat/

[3] https://github.com/RedTeamPentesting/CVE-2020-13935

北京金山云网络技术有限公司

2020/11/06