安全公告/【CVE-2020-13934】

基本信息

漏洞描述

Tomcat 服务器是一个免费的开放源代码的Web 应用服务器，属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP 程序的首选。 Tomcat上存在拒绝服务漏洞，WebSocket框架中的有效负载长度未正确验证，无效的有效载荷长度可能会触发无限循环，有效载荷长度无效的多个请求可能导致拒绝服务。

修复方式

将 Tomcat 升级到 7.0.105、8.5.57、9.0.37、10.0.0-M7 及以上版本，下载地址：http://archive.apache.org/dist/tomcat/

漏洞判定

版本比对检测原理：检查当前系统中Tomcat版本是否在受影响的版本内|版本比对检测结果：- tomcat
  当前安装版本：7.0.94
  应用相关信息：
  - 安装目录：/home/weblogic/tomcat/apache-tomcat-7.0.94-wffj
  - 配置文件路径：/home/weblogic/tomcat/apache-tomcat-7.0.94-wffj/conf/server.xml
  - 进程PID：32134
  - 二进制文件路径：/home/weblogic/jdk/jdk1.7.0_80/bin/java
该主机存在此漏洞

参考

CVE-2020-13935，CNVD-2020-46230，CWE-835，CNNVD-202007-571，CVE-2020-13934，CNVD-2020-43161，CWE-476，CWE-401，CNNVD-202007-570