Apache Tomcat拒绝服务漏洞风险通告,腾讯云镜支持检测

2020-07-16 14:01:18
2020年7月14日,Apache官方通报了Apache Tomcat 两个拒绝服务漏洞:CVE-2020-13934、CVE-2020-13935,并已发布安全更新。

2020714日,Apache官方通报了Apache Tomcat 两个拒绝服务漏洞:CVE-2020-13934CVE-2020-13935,并已发布安全更新。

 

【漏洞描述】

CVE-2020-13934

Apache Tomcat HTTP / 2拒绝服务,漏洞等级为中等;

如果请求数过多会发生OutOfMemoryException(内存不足异常),导致拒绝服务。


CVE-2020-13935

WebSocket拒绝服务漏洞,漏洞等级为重要。

Apache Tomcat WebSocket中的载荷长度未正确验证,无效的载荷长度可能会触发无限循环,导致拒绝服务。

Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Microsystems提供的技术规范,实现了对ServletJavaServer PageJSP)的支持,并提供了作为Web服务器的一些特有功能。 


【受影响的版本】

Apache Tomcat 10.0.0-M1~10.0.0-M6

Apache Tomcat 9.0.0.M1~9.0.36

Apache Tomcat 8.5.0~8.5.56

Apache Tomcat 7.0.27~7.0.104

 

【修复方案】

-升级到Apache Tomcat 10.0.0-M7+

-升级到Apache Tomcat 9.0.37+

-升级到Apache Tomcat 8.5.57+ 

 

【腾讯安全解决方案】

腾讯T-Sec主机安全(云镜)产品已支持检测云主机系统是否存在Apache Tomcat WebSocket拒绝服务漏洞。

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

 

【参考资料】

[1] http://tomcat.apache.org/security-10.html

[2] http://tomcat.apache.org/security-9.html

[3] http://tomcat.apache.org/security-8.html

最新资讯