安全公告/【CVE-2020-13934】
基本信息
漏洞名称:Tomcat 拒绝服务漏洞(CVE-2020-13934、CVE-2020-13935)
受影响操作系统:Asianux Server 4 (Hiranya SP4)
危险等级:高危
影响源码包:Tomcat
CVSS评分:7.5
发现日期:2024-03-29
漏洞描述
Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。 Tomcat上存在拒绝服务漏洞,WebSocket框架中的有效负载长度未正确验证,无效的有效载荷长度可能会触发无限循环,有效载荷长度无效的多个请求可能导致拒绝服务。
修复方式
将 Tomcat 升级到 7.0.105、8.5.57、9.0.37、10.0.0-M7 及以上版本,下载地址:http://archive.apache.org/dist/tomcat/
漏洞判定
版本比对检测原理:检查当前系统中Tomcat版本是否在受影响的版本内|版本比对检测结果:- tomcat 当前安装版本:7.0.53 应用相关信息: - 安装目录:/home/bea/tomcat/apache-tomcat-7.0.53 - 配置文件路径:/home/bea/tomcat/apache-tomcat-7.0.53/conf/server.xml - 进程PID:26501 - 二进制文件路径:/usr/jdk1.8.0_51/bin/java - tomcat 当前安装版本:7.0.53 应用相关信息: - 安装目录:/home/bea/tomcat/apache-tomcat-7.0.53 - 配置文件路径:/home/bea/tomcat/apache-tomcat-7.0.53/conf/server.xml - 进程PID:19844 - 二进制文件路径:/usr/jdk1.8.0_51/bin/java 该主机存在此漏洞
参考
CVE-2020-13935,CNVD-2020-46230,CWE-835,CNNVD-202007-571,CVE-2020-13934,CNVD-2020-43161,CWE-476,CWE-401,CNNVD-202007-570