Apache Tomcat websocket拒绝服务漏洞CVE-2020-13935

深信服千里目安全实验室 · 公众号 · · 2020-11-06 19:33

正文

Tomcat官方于7月份修复了CVE-2020-13935 websocket 拒绝服务漏洞。 近日，国外某安全团队公开了相关poc代码，在受影响版本内的Tomcat开启websocket的情况下将会导致拒绝服务。

漏洞名称 : Apache Tomcat websocket拒绝服务漏洞CVE-2020-13935

威胁等级 : 高危

影响范围 :

Apache Tomcat 10.0.0-M1 ~ 10.0.0-M6

Apache Tomcat 9.0.0.M1 ~ 9.0.36

Apache Tomcat 8.5.0 ~ 8.5.56

Apache Tomcat 7.0.27 ~ 7.0.104

漏洞类型 : 拒绝服务

利用难度 : 容易

漏洞分析

1 Tomcat组件介绍

Tomcat 是由 Apache 软件基金会下属的 Jakarta 项目开发的一个 Servlet 容器，按照 Sun Microsystems 提供的技术规范开发出来，Tomcat 8 实现了对 Servlet 3.1 和 JavaServer Page 2.3（JSP）的支持，并提供了作为 Web 服务器的一些特有功能，如 Tomcat 管理和控制平台、安全域管理和 Tomcat 附加组件等。属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP 程序的首选。

2 漏洞描述

Tomcat官方于7月份修复了CVE-2020-13935 websocket 拒绝服务漏洞。近日，国外某安全团队公开了相关poc代码，在受影响版本内的Tomcat开启websocket的情况下将会导致拒绝服务。

3 漏洞复现

搭建Tomcat环境，攻击者发送特制的请求，可以看到服务器端资源占用过满

影响范围

目前受影响的Tomcat版本：

Apache Tomcat 10.0.0-M1 ~ 10.0.0-M6

Apache Tomcat 9.0.0.M1 ~ 9.0.36

Apache Tomcat 8.5.0 ~ 8.5.56

Apache Tomcat 7.0.27 ~ 7.0.104

解决方案

2 修复建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://tomcat.apache.org/

2 深信服解决方案

【 深信服下一代防火墙 】预计2020年11月7日，可轻松防御此漏洞，建议部署深信服下一代防火墙的用户更新至最新的安全防护规则，可轻松抵御此高危风险。
【 深信服云盾 】预计2020年11月7日，从云端自动更新防护规则，云盾用户无需操作，即可轻松、快速防御此高危风险。
【 深信服安全感知平台 】预计2020年11月7日，可检测利用该漏洞的攻击，实时告警，并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。
【 深信服安全运营服务 】深信服云端安全专家提供7*24小时持续的安全运营服务。预计2020年11月7日，对存在漏洞的用户，检查并更新了客户防护设备的策略，确保客户防护设备可以防御此漏洞风险。