[CVE-2020-13935] Tomcat WebSocket拒绝服务漏洞
影响范围
9.0.0.M1~9.0.36
10.0.0-M1~10.0.0-M6
8.5.0~8.5.56
7.0.27~7.0.104
修复建议
升级到修复版本
http://tomcat.apache.org/
缓解措施:
若无特殊需要,关闭Tomcat Websocket功能,删除example下的websocket示例。
漏洞检测:
- 判断版本
- 判断examples的websocket页面是否存在
漏洞利用效果:
端口可访问;服务不可用。
升级之后的效果:
使用之前的利用方式无法造成DOS效果。
参考:
https://www.anquanke.com/post/id/221861
https://github.com/RedTeamPentesting/CVE-2020-13935