Apache Tomcat拒绝服务漏洞(CVE-2020-13935)

最新推荐文章于 2024-01-13 14:15:58 发布
最新推荐文章于 2024-01-13 14:15:58 发布
阅读量662 收藏 10
点赞数 7
文章标签: apache tomcat java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65150886/article/details/135334299
版权

漏洞描述

7月16日, Apache基金会发布公告称,Tomcat中间件存在两个拒绝服务漏洞(CVE-2020-13934/13935)。据了解,上述漏洞是Tomcat中间件存在设计缺陷所导致:一是当请求数过多时会发生内存不足异常(OutOfMemoryException),从而导致拒绝服务;二是WebSocket中对载荷长度的验证存在缺陷,无效的载荷长度可能会触发无限循环,从而导致拒绝服务。目前Apache Tomcat官方已发布新版本修复该漏洞。

复现过程:

1.访问ip:port

2.POC下载地址

https://github.com/RedTeamPentesting/CVE-2020-13935
go env -w GOPROXY=https://goproxy.cn

//修改proxy地址

3.go build //编译go程序,输出tcdos.exe

4.攻击服务器

tcdos.exe ws://ip:port/examples/websocket/echoStreamAnnotation

5.Cpu占用率过高,页面无法正常访问

修复建议:

下载官方升级包进行升级:

Apache Tomcat 10.0.0-M7: https://tomcat.apache.org/download-10.cgi

Apache Tomcat 9.0.37: https://tomcat.apache.org/download-90.cgi

Apache Tomcat 8.5.57: https://tomcat.apache.org/download-80.cgi

Apache Tomcat 7.0.105: https://tomcat.apache.org/download-70.cgi

慕筱蚺
关注
  • 7
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
websocket 拒绝握手_Tomcat WebSocket拒绝服务漏洞CVE202013935
weixin_35772916的博客
01-13 892
PART.0101左中括号一、基本信息左中括号1. 基本概要发布时间:2020.07.14漏洞名称:Apache Tomcat WebSocket拒绝服务漏洞威胁类型:拒绝服务攻击CVE编号:CVE-2020-13935影响版本:●Apache Tomcat 10.0.0-M1至10.0.0-M6●Apache Tomcat 9.0.0.M1至9.0.36●Apache Tomcat 8...
tomcat 升级到8.5.99后,系统启动不起来问题(修复 CVE-2024-24549 拒绝访问漏洞
最新发布
w15201128473的博客
04-16 668
因为tomcat最近发布了:CVE-2024-24549 漏洞,为了安全考虑进行tomcat升级,发现升级到8.5.99或8.5.100之后项目会卡在shiroFilter不动。因为尝试了8.5.98可以启动起来,所以在8.5.98的基础上增加了修复CVE-2024-24549漏洞代码。意思大概是:ApacheTomcat存在拒绝服务漏洞,在处理HTTP/2请求时,如果请求超出了标头的任何配置限制,则关联的 HTTP/2流只有在处理完所有标头后才会重置,攻击者可以使用特制HTTP请求进行DDos攻击。
Apache Tomcat 安全漏洞(CVE-2020-13935)复现
热门推荐
qq_40640917的博客
01-20 1万+
漏洞详情: Apache Tomcat是美国阿帕奇(Apache)软件基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。 Apache Tomcat中的WebSocket存在安全漏洞,该漏洞源于程序没有正确验证payload的长度。攻击者可利用该漏洞造成拒绝服务(无限循环)。 影响版本: 10.0.0-M1版本至10.0.0-M6版本 9.0.0.M1版本至9.0.36版本 8.5.0版本至8.5.56版本 7.0.27版本至7.0.104版本
漏洞复现】Apache Tomcat WebSocket 拒绝服务漏洞CVE-2020-13935
qq_48201589的博客
01-13 706
Tomcat 未针对 WebSokcet 进行包长度校验,特制的 WebSocket请求包将导致处理函数无限循环,最终导致服务停机并拒绝服务。查看http://IP:8080/examples/websocket/echo.xhtml 是否可以访问,如果不可以访问,则说明该文件被删掉了,那就无法进行漏洞利用了。
TomcatTomcat多个版本存在拒绝服务漏洞
cnskylee的博客
02-22 6844
Apache Tomcat使用Apache Commons FileUpload的打包重命名副本 提供 Jakarta Servlet 中定义的文件上传功能 规范。因此,Apache Tomcat也容易受到 Apache 共享资源文件上传漏洞。为 处理的请求部件数量没有限制。这 导致攻击者可能触发 DoS 恶意上传或一系列上传。拒绝服务漏洞(DoS)2022年12月11日。
Apache Tomcat 拒绝服务漏洞通告
程序猿DD
10-20 1012
作者 |360CERT来源 |https://www.oschina.net/news/164556报告编号:B6-2021-101501报告来源:360CERT报告作者:360CER...
Apache Tomcat拒绝服务漏洞
danpu0978的博客
04-18 1641
安全研究人员最近证实并在拒绝服务漏洞中提出,托管在Apache Tomcat服务器上的网站似乎容易受到拒绝服务攻击的威胁,这使Apache Tomcat服务器处于危险之中 。 Apache Tomcat服务器被广泛用于托管使用Java Servlet和JavaServer Pages(JSP)技术开发的应用程序。 Apache Commons FileUpload是一个独立的库,开发人员...
TomcatApache Tomcat多个大版本存在拒绝服务漏洞
cnskylee的博客
12-13 4200
根据Apache Tomcat官方安全报告,Apache Tomcat的多个版本存在因为内存泄漏而导致的拒绝服务漏洞CVE编号:CVE-2021-42340)。 受影响的各个大版本: 8.5.xx版本:8.5.60 到8.5.71(8.5.72 版本修复) 9.0.xx版本:9.0.40 到9.0.53(9.0.54 版本修复) 10.0.xx版本:10.0.0-M10 到10.0.11(10.0.12版本修复) 建议升级到以下对应的最新版本: 8.5.73 、9.0.56...
CVE-2020-1938 Apache Tomcat 文件包含EXP
03-29
2月20日,国家信息安全漏洞共享平台(CNVD)发布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器...
apache-tomcat-9.0.37.rar
09-02
可以使用xftp直接拖进linux中进行解压的tomcat-9.0.37版本的.tar.gz的jar包.版本比较经典,有需要的朋友可以下载
Apache Tomcat 文件包含漏洞(CNVD-2020-10487,对应 CVE-2020-1938)
03-05
压缩包中含有详细的文档说明、操作指南以及所需要的附件。本作者亲自验证有效。如果有问题,请联系作者QQ。
tomcat拒绝访问是为什么_Apache Tomcat websocket拒绝服务漏洞CVE202013935
weixin_39703982的博客
12-10 738
Tomcat官方于7月份修复了CVE-2020-13935 websocket 拒绝服务漏洞。近日,国外某安全团队公开了相关poc代码,在受影响版本内的Tomcat开启websocket的情况下将会导致拒绝服务漏洞名称 :Apache Tomcat websocket拒绝服务漏洞CVE-2020-13935威胁等级 : 高危影响范围:Apache Tomcat 10.0.0-M1...
Tomcat WebSokcet 拒绝服务CVE-2020-13935
weixin_63839400的博客
08-25 310
测试地址tcdos ws://ip:端口/examples/websocket/echoStreamAnnotation。poc需要自己进行编译,需要用到go环境(不会的可以搜索一下),很多大佬写的非常详细。这里使用的是vulhub搭建的靶场,下载地址在上一篇文章。请求包将导致处理函数无限循环,最终导致服务停机并拒绝服务。进行包长度校验,特制的。http://IP:端口/Tomcat 未针对。
CVE-2020-13935
龙卷风摧毁停车场
02-28 842
Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。Apache Tomcat中的WebSocket存在安全漏洞,该漏洞源于程序没有正确验证payload的长度。攻击者可利用该漏洞造成拒绝服务(无限循环)。
遭遇Tomcat远程拒绝服务漏洞
weixin_33895516的博客
11-22 649
接到腾讯安全部门的邮件,大意是Tomcat远程拒绝服务漏洞的攻击代码(漏洞CVE编号CVE-2010-2227,http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2227),攻击者可以使用此漏洞Tomcat服务瘫痪,进而导致业务中断,该漏洞影响到Tomcat的5.5.0到5.5.29,6...
Apache Tomcat WebSocket 拒绝服务漏洞(CVE-2020-13935)解决办法
06-06
Apache Tomcat WebSocket 拒绝服务漏洞(CVE-2020-13935)是一种严重的漏洞,它可能允许未经授权的攻击者利用 WebSocket 连接来拒绝服务。 以下是解决此漏洞的一些步骤: 1. 确认您的 Tomcat 版本是否受到此漏洞的影响。该漏洞影响 Apache Tomcat 10.0.x 和 9.0.x 版本。 2. 升级 Tomcat 版本。Apache 已经发布了修复此漏洞Tomcat 版本。建议尽快升级到最新版本。对于 Tomcat 10.x 用户,应升级到 10.0.0-M9 或更高版本。对于 Tomcat 9.x 用户,应升级到 9.0.39 或更高版本。 3. 如果无法立即升级,可以考虑禁用 WebSocket。在 Tomcat 的配置文件中,可以禁用 WebSocket,以避免攻击者利用此漏洞。但是,这可能会影响某些应用程序的功能。 4. 如果您无法立即升级并且需要使用 WebSocket,可以考虑使用 Apache Tomcat WebSocket 拒绝服务漏洞修复程序。此程序可用于修复受影响的 Tomcat 版本,以防止攻击者利用此漏洞。但是,使用此程序仅仅是临时解决方案,建议尽快升级到最新版本。 总之,为了保护您的系统免受此漏洞的影响,建议尽快采取相应的措施,以确保您的 Tomcat 服务器是安全的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值