广告

Tomcat websocket 拒绝服务漏洞利用代码披露

Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器。

披露日期:2020年11月6日
危险等级:高危
漏洞特征:拒绝服务

漏洞简介

Tomcat官方于7月份修复了CVE-2020-13935 websocket 拒绝服务漏洞。

近日,国外某安全团队公开了相关poc代码,在受影响版本内的Tomcat开启websocket的情况下将会导致拒绝服务。

影响版本

Apache Tomcat 10.0.0-M1 ~ 10.0.0-M6
Apache Tomcat 9.0.0.M1 ~ 9.0.36
Apache Tomcat 8.5.0 ~ 8.5.56
Apache Tomcat 7.0.27 ~ 7.0.104

安全版本

Apache Tomcat 10.0.0-M7+
Apache Tomcat 9.0.37+
Apache Tomcat 8.5.57+

解决方案

方案一

升级至Apache Tomcat至安全版本及其以上。

方案二

若无特殊需要,关闭Tomcat Websocket功能,删除example下的websocket示例。

赞 (0) 打赏

精彩点评 0

感谢您的支持与鼓励

支付宝扫一扫打赏

微信扫一扫打赏