一、背景介绍
7月14日,市委网信办支撑单位监测到Apache 官方发布了 Apache Tomcat 两个拒绝服务漏洞:Apache Tomcat HTTP/2(CVE-2020-13934)与 Tomcat WebSokcet(CVE-2020-13935)的安全通告与更新。
11月6日,再次监测到 RedTeamPentesting 发布了Tomcat WebSokcet(CVE-2020-13935)漏洞的利用代码。
通过公开的利用工具,攻击者可以对使用 WebSocket 的 Tomcat 服务器进行拒绝服务攻击。
1.1漏洞描述
1、CVE-2020-13934:Apache Tomcat HTTP/2 拒绝服务漏洞Apache Tomcat 中存在一处安全漏洞。当 HTTP/1.1 处理器升级到HTTP/ 2 时,由于 h2c 直接连接未在发布后被释放,当有足够数量的此类请求,可能导致拒绝服务。
2、CVE-2020-13935: Apache Tomcat WebSokcet 拒绝服务漏洞Apache Tomcat WebSokcet 产品中存在一处安全漏洞。由于未对WebSocket 帧中的有效负载长度进行校验,使得恶意构造的载荷长度触发无限循环,可能会导致拒绝服务。
1.2漏洞编号
CVE-2020-13934
CVE-2020-13935
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
Apache Tomcat 10.0.0-M1~10.0.0-M6
Apache Tomcat 9.0.0.M1~9.0.36
Apache Tomcat 8.5.0~8.5.56
Apache Tomcat 7.0.27~7.0.104
2.2 修复建议
Apache Tomcat 官方已经发布了解决此系列漏洞的升级,建议受影响用户尽快升级
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.37