无码一区二区三区,亚洲精品久久久久久一区二区,好吊视频一区二区三区,亚洲精品一区中文字幕乱码

官方公告

了解金山云最新公告

公告 > 安全公告 > Tomcat WebSocket 拒絕服務(wù)(EXP公開)
Tomcat WebSocket 拒絕服務(wù)(EXP公開)

2020-11-06 00:00:00

近日,金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到,CVE-2020-13935(Apache Tomcat 拒絕服務(wù)漏洞)該漏洞的利用代碼(EXP)已在互聯(lián)網(wǎng)上公開,未授權(quán)的遠(yuǎn)程攻擊者通過(guò)發(fā)送大量特制請(qǐng)求包到Tomcat服務(wù)器,可造成服務(wù)器停止響應(yīng)并無(wú)法提供正常服務(wù)。


該漏洞能直接對(duì)使用 WebSocket 的Tomcat服務(wù)器造成影響,請(qǐng)相關(guān)用戶盡快將Tomcat升級(jí)到最新版本,做好資產(chǎn)自查工作,避免遭受不必要的損失。


漏洞描述

Tomcat是由Apache軟件基金會(huì)下屬的Jakarta項(xiàng)目開發(fā)的一個(gè)Servlet容器,按照Sun Microsystems提供的技術(shù)規(guī)范,實(shí)現(xiàn)了對(duì)Servlet和JavaServer Page(JSP)的支持,并提供了作為Web服務(wù)器的一些特有功能。


Apache Tomcat WebSocket幀中的有效負(fù)載長(zhǎng)度未正確驗(yàn)證,無(wú)效的有效載荷長(zhǎng)度可能會(huì)觸發(fā)無(wú)限循環(huán),多有效負(fù)載長(zhǎng)度無(wú)效的請(qǐng)求可能會(huì)導(dǎo)致拒絕服務(wù)。


風(fēng)險(xiǎn)等級(jí)

高危


影響版本

Apache Tomcat 9.0.0.M1 - 9.0.36

Apache Tomcat 10.0.0-M1 - 10.0.0-M6

Apache Tomcat 8.5.0 - 8.5.56

Apache Tomcat 7.0.27 - 7.0.104


修復(fù)建議

1. 升級(jí)至安全版本

· 升級(jí)到Apache Tomcat 10.0.0-M7+

· 升級(jí)到Apache Tomcat 9.0.37+

· 升級(jí)到Apache Tomcat 8.5.57+

2. 臨時(shí)修復(fù)建議

· 針對(duì)非必要服務(wù)停用 WebSocket

參考鏈接

[1] https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.37

[2] https://blog.redteam-pentesting.de/2020/websocket-vulnerability-tomcat/

[3] https://github.com/RedTeamPentesting/CVE-2020-13935




北京金山云網(wǎng)絡(luò)技術(shù)有限公司

2020/11/06



峨眉山市| 琼海市| 辽源市| 阜宁县| 荔波县| 连南| 明光市| 诸城市| 社旗县| 大名县| 集贤县| 洮南市| 奉化市| 周口市| 阿克| 马尔康县| 库伦旗| 东乌| 手游| 武隆县| 南雄市| 旌德县| 城口县| 志丹县| 化州市| 阳曲县| 芦溪县| 洛南县| 渭源县| 张家港市| 新蔡县| 潼南县| 宁远县| 夹江县| 颍上县| 成安县| 青铜峡市| 共和县| 恩施市| 仪陇县| 新巴尔虎左旗|