Popular Products
Latest Products
Recommended Services
Computing
Storage
Backup
Network&CDN
Security
Database
Big Data Computing
Big Data Search and Analysis
Big Data Application
Big Data Solutions
Domain Name and Website
Platform
Communications
Intelligent Management
Office Automation
Auto Service
Management & Monitoring
Middleware
IT Management & Tools
Enterprise Service Solutions
Hybrid Cloud Solutions
Big Data Solutions
AI Solutions
Security Solutions
Private Cloud Solutions
Financial Solutions
Smart City Solutions
Medical Solutions
【漏洞详情】
Tomcat官方于7月份修复了websocket 拒绝服务漏洞(CVE-2020-13935)。由于WebSocket帧中的攻击载荷长度未正确验证导致,无效的攻击载荷长度可能会触发无限循环,当出现大量的包含无效攻击载荷长度的请求时,可导致拒绝服务。近日,漏洞利用poc代码已公布,建议受影响的用户及时更新修复,避免攻击风险。
【漏洞评级】
中危
【 影响范围】
l Apache Tomcat 10.0.0-M1 - 10.0.0-M6
l Apache Tomcat 9.0.0.M1 - 9.0.36
l Apache Tomcat 8.5.0 - 8.5.56
l Apache Tomcat 7.0.27 - 7.0.104
【修复建议】
官方已经提供最新版本,建议受影响的用户结合实际业务评估漏洞风险影响,及时升级至最新安全版本,以避免安全风险。
安全版本如下:
Apache Tomcat 10.0.0-M7或更高版本
Apache Tomcat 9.0.37或更高版本
Apache Tomcat 8.5.57或更高版本
【参考链接】
https://www.openwall.com/lists/oss-security/2020/07/14/3
特别提醒:清除恶意文件前请进行充分测试,并务必做好数据备份和快照,防止出现意外。
平安云
2020年11月9日
