近日,騰訊云安全運營中心監(jiān)測到���,Apache Tomcat WebSocket拒絕服務漏洞(漏洞編號:CVE-2020-13935)PoC已公開�,Apache官方在2020年7月14日披露了該漏洞���,騰訊云已關注到并發(fā)布了風險通告�����。
本次通告標識漏洞利用工具已公開,為避免您的業(yè)務受影響��,騰訊云安全建議您及時開展安全自查,如在受影響范圍�����,請您及時進行更新修復�����,避免被外部攻擊者入侵����。
Apache Tomcat WebSocket拒絕服務漏洞是由于WebSocket幀中的攻擊載荷長度未正確驗證導致,無效的攻擊載荷長度可能會觸發(fā)無限循環(huán)����,如果有大量的包含無效攻擊載荷長度的請求發(fā)生,可能會導致拒絕服務��。
攻擊者發(fā)送大量特定請求導致在影響版本范圍內(nèi)的使用Websocket協(xié)議的Tomcat服務器無法響應����。
Apache Tomcat 10.0.0-M1至10.0.0-M6
Apache Tomcat 9.0.0.M1至9.0.36
Apache Tomcat 8.5.0至8.5.56
Apache Tomcat 7.0.27至7.0.104
Apache Tomcat 10.0.0-M7或更高版本
Apache Tomcat 9.0.37或更高版本
Apache Tomcat 8.5.57或更高版本
1)官方已發(fā)布漏洞修復版本,檢查您的Tomcat服務器是否在受影響版本范圍
2)檢查你的網(wǎng)站或系統(tǒng)是否使用到Websocket協(xié)議
3)如受影響����,請你選擇合理時間進行升級操作,升級到修復版本,避免影響業(yè)務��。
【備注】:建議您在安裝補丁前做好數(shù)據(jù)備份工作����,避免出現(xiàn)意外.
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
