[CVE-2020-13935] Tomcat WebSocket拒绝服务漏洞

影响范围

9.0.0.M1~9.0.36
10.0.0-M1~10.0.0-M6
8.5.0~8.5.56
7.0.27~7.0.104

修复建议

升级到修复版本

http://tomcat.apache.org/

缓解措施：

若无特殊需要，关闭Tomcat Websocket功能，删除example下的websocket示例。

漏洞检测：

• 判断版本
• 判断examples的websocket页面是否存在

漏洞利用效果：

端口可访问；服务不可用。

升级之后的效果：

使用之前的利用方式无法造成DOS效果。

参考：

https://www.anquanke.com/post/id/221861 https://github.com/RedTeamPentesting/CVE-2020-13935