服務(wù)公告

全部公告 > 安全公告 > Tomcat WebSocket拒絕服務(wù)漏洞（CVE-2020-13935）利用代碼公開預(yù)警

Tomcat WebSocket拒絕服務(wù)漏洞（CVE-2020-13935）利用代碼公開預(yù)警

一、概要

近日，華為云關(guān)注到到外部安全研究人員公開了Tomcat官方于7月份披露的WebSocket拒絕服務(wù)漏洞（CVE-2020-13935）細節(jié)和POC，CVSS評分7.5，受影響版本內(nèi)的Tomcat開啟WebSocket的情況下會受此漏洞影響。

詳情請參考鏈接：

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急）

三、漏洞影響范圍

受影響版本：

Apache Tomcat 10.0.0-M1 ~ 10.0.0-M6

Apache Tomcat 9.0.0.M1 ~ 9.0.36

Apache Tomcat 8.5.0 ~ 8.5.56

Apache Tomcat 7.0.27 ~ 7.0.104

安全版本：

Apache Tomcat 10.0.0-M7+

Apache Tomcat 9.0.37+

Apache Tomcat 8.5.57+

四、漏洞處置

升級到安全版本：

或采取以下緩解措施：

非必要服務(wù)停用 WebSocket。

注：修復(fù)漏洞前請將資料備份，并進行充分測試。