关于Apache Tomcat 拒绝服务漏洞的风险提示

2020-11-06452

一、背景介绍

7月14日,市委网信办支撑单位监测到Apache 官方发布了 Apache Tomcat 两个拒绝服务漏洞:Apache Tomcat HTTP/2(CVE-2020-13934)与 Tomcat WebSokcet(CVE-2020-13935)的安全通告与更新。 

11月6日,再次监测到 RedTeamPentesting 发布了Tomcat WebSokcet(CVE-2020-13935)漏洞的利用代码。 

通过公开的利用工具,攻击者可以对使用 WebSocket 的 Tomcat 服务器进行拒绝服务攻击。

1.1漏洞描述

1、CVE-2020-13934:Apache Tomcat HTTP/2 拒绝服务漏洞Apache Tomcat 中存在一处安全漏洞。当 HTTP/1.1 处理器升级到HTTP/ 2 时,由于 h2c 直接连接未在发布后被释放,当有足够数量的此类请求,可能导致拒绝服务。 

2、CVE-2020-13935: Apache Tomcat WebSokcet 拒绝服务漏洞Apache Tomcat WebSokcet 产品中存在一处安全漏洞。由于未对WebSocket 帧中的有效负载长度进行校验,使得恶意构造的载荷长度触发无限循环,可能会导致拒绝服务。

1.2漏洞编号

CVE-2020-13934

CVE-2020-13935 

1.3漏洞等级

高危


二、修复建议

2.1 受影响版本

Apache Tomcat 10.0.0-M1~10.0.0-M6

Apache Tomcat 9.0.0.M1~9.0.36

Apache Tomcat 8.5.0~8.5.56

Apache Tomcat 7.0.27~7.0.104

2.2 修复建议

Apache Tomcat 官方已经发布了解决此系列漏洞的升级,建议受影响用户尽快升级 

https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.37