Apache Tomcat拒绝服务漏洞(CVE-2020-13935)

最新推荐文章于 2025-02-06 15:02:51 发布

慕筱蚺

最新推荐文章于 2025-02-06 15:02:51 发布

阅读量1.2k

点赞数 7

CC 4.0 BY-SA版权

文章标签： apache tomcat java

本文链接：https://blog.csdn.net/m0_65150886/article/details/135334299

漏洞描述

7月16日， Apache基金会发布公告称，Tomcat中间件存在两个拒绝服务漏洞（CVE-2020-13934/13935）。据了解，上述漏洞是Tomcat中间件存在设计缺陷所导致：一是当请求数过多时会发生内存不足异常（OutOfMemoryException），从而导致拒绝服务；二是WebSocket中对载荷长度的验证存在缺陷，无效的载荷长度可能会触发无限循环，从而导致拒绝服务。目前Apache Tomcat官方已发布新版本修复该漏洞。

复现过程：

1.访问ip：port

2.POC下载地址

https://github.com/RedTeamPentesting/CVE-2020-13935

go env -w GOPROXY=https://goproxy.cn

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

慕筱蚺

关注关注

7
点赞
踩
11

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

漏洞修复：Apache Tomcat 安全漏洞(CVE-2024-50379) | Apache Tomcat 安全漏洞(CVE-2024-52318)

专注于计算机研发知识和资讯分享

01-23

1971

解决方案：升级到最新版Tomcat。

Apache Tomcat 安全漏洞(CVE-2020-13935)复现

fwdwqdwq的博客

08-01

5265

先自我介绍一下，小编13年上师交大毕业，曾经在小公司待过，去过华为OPPO等大厂，18年进入阿里，直到现在。深知大多数初中级java工程师，想要升技能，往往是需要自己摸索成长或是报班学习，但对于培训机构动则近万元的学费，着实压力不小。因此我收集了一份《java开发全套学习资料》送给大家，初衷也很简单，就是希望帮助到想自学又不知道该从何学起的朋友，同时减轻大家的负担。ApacheTomcat中的WebSocket存在安全漏洞，该漏洞源于程序没有正确验证payload的长度。靶机配置Docker。...

参与评论您还未登录，请先登录后发表或查看评论

Apache Tomcat 安全漏洞(CVE-2020-13935)发现与分析(无POC)

最新发布

weixin_58666006的博客

02-06

563

10.0.0-M1版本至10.0.0-M6版本9.0.0.M1版本至9.0.36版本8.5.0版本至8.5.56版本7.0.27版本至7.0.104版本。

Apache Tomcat 数千台服务器面临拒绝服务风险威胁

网络研究观

07-08

2931

远程攻击者可以利用此安全缺陷使易受攻击的系统的计算资源超载，从而损害服务的可用性。

【漏洞复现】Apache Tomcat WebSocket 拒绝服务漏洞（CVE-2020-13935）

网络安全从业者的学习笔记

01-13

1947

Tomcat 未针对 WebSokcet 进行包长度校验，特制的 WebSocket请求包将导致处理函数无限循环，最终导致服务停机并拒绝服务。查看http://IP:8080/examples/websocket/echo.xhtml 是否可以访问，如果不可以访问，则说明该文件被删掉了，那就无法进行漏洞利用了。

【CVE】CVE-2020-13935：Tomcat 拒绝服务漏洞

边扯边淡

11-13

9889

起序：第一次复现漏洞，有点小激动。一、靶场环境使用的是 github 上的 vulhub 环境。因为 tomcat 中的 CVE-2020-1938 是 Apache Tomcat/9.0.30 版本，这个版本也存在 CVE-2020-13935 漏洞。 vulhub：https://github.com/vulhub/vulhub 如果有需要，可以参考我做的搭建教程。有截图的。【靶场】Ubuntu 16.04 搭建 vulhub 靶场环境 1、漏洞：拒绝服务漏洞 Tomcat 未

Apache Tomcat 拒绝服务漏洞通告

程序猿DD

10-20

1195

作者 |360CERT来源 |https://www.oschina.net/news/164556报告编号：B6-2021-101501报告来源：360CERT报告作者：360CER...

CVE-2020-13935

龙卷风摧毁停车场

02-28

1145

Apache Tomcat是美国阿帕奇（Apache）基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page（JSP）的支持。Apache Tomcat中的WebSocket存在安全漏洞，该漏洞源于程序没有正确验证payload的长度。攻击者可利用该漏洞造成拒绝服务（无限循环）。

Apache Tomcat 信息泄露漏洞CVE-2024-21733、CVE-2024-24549和CVE-2024-34750排查处理

企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net

08-14

7337

现场的为中小型项目，未直接使用功能tomcat作为容器使用，仅是jar包里spring-boor框架引入tomcat 内嵌到 web项目中作为web server使用，从而保证项目包可直接运行 webapp项目，无需再部署到额外的tomcat服务了；当不想因为Tomcat就改变SpringBoot的版本时，可以采用排除SpringBoot中的Tomcat包，然后手动指定新的Tomcat的版本来实现升级内置组件的目的，当然还要引入Tomcat相关的包。其中，Coyote作为Tomcat的。

Apache Tomcat 文件包含漏洞（CNVD-2020-10487，对应 CVE-2020-1938）

03-05

CNVD-2020-10487 和 CVE-2020-1938 是同一个安全漏洞的不同命名，这个漏洞被称为“Apache Tomcat 文件包含漏洞”。此漏洞的存在使得攻击者有可能通过精心构造的请求，将恶意代码注入到Tomcat服务器上，从而执行任意...

CVE-2020-13935-master（包含已编译文件tcdos.exe）

01-20

Apache Tomcat 安全漏洞(CVE-2020-13935)验证POC

【Tomcat】Tomcat多个版本存在拒绝服务漏洞

cnskylee的博客

02-22

7910

Apache Tomcat使用Apache Commons FileUpload的打包重命名副本提供 Jakarta Servlet 中定义的文件上传功能规范。因此，Apache Tomcat也容易受到 Apache 共享资源文件上传漏洞。为处理的请求部件数量没有限制。这导致攻击者可能触发 DoS 恶意上传或一系列上传。拒绝服务漏洞（DoS）2022年12月11日。

Tomcat WebSokcet 拒绝服务（CVE-2020-13935）

weixin_63839400的博客

08-25

634

测试地址tcdos ws://ip:端口/examples/websocket/echoStreamAnnotation。poc需要自己进行编译，需要用到go环境（不会的可以搜索一下），很多大佬写的非常详细。这里使用的是vulhub搭建的靶场，下载地址在上一篇文章。请求包将导致处理函数无限循环，最终导致服务停机并拒绝服务。进行包长度校验，特制的。http://IP:端口/Tomcat 未针对。

websocket 拒绝握手_Tomcat WebSocket拒绝服务漏洞（CVE202013935）

weixin_35772916的博客

01-13

1022

PART.0101左中括号一、基本信息左中括号1. 基本概要发布时间：2020.07.14漏洞名称：Apache Tomcat WebSocket拒绝服务漏洞威胁类型：拒绝服务攻击CVE编号：CVE-2020-13935影响版本：●Apache Tomcat 10.0.0-M1至10.0.0-M6●Apache Tomcat 9.0.0.M1至9.0.36●Apache Tomcat 8...

[EXP公开] CVE-2020-13935: Tomcat WebSocket 拒绝服务漏洞通告

爱国小白帽

11-06

4151

原创 360CERT [三六零CERT](javascript:void(0)???? 今天报告编号：B6-2020-110601 报告来源：360CERT 报告作者：360CERT 更新日期：2020-11-06 0x01 漏洞简述 2020年11月06日，360CERT监测发现@RedTeamPentesting发布了Tomcat WebSokcet 拒绝服务漏洞的分析报告，该漏洞编号为 CVE-2020-13935 ，漏洞等级：高危，漏洞评分：7.5 。未授权的远程攻击者通过发送大量特制

Apache Tomcat和拒绝服务漏洞

danpu0978的博客

04-18

1781

安全研究人员最近证实并在拒绝服务漏洞中提出，托管在Apache Tomcat服务器上的网站似乎容易受到拒绝服务攻击的威胁，这使Apache Tomcat服务器处于危险之中。 Apache Tomcat服务器被广泛用于托管使用Java Servlet和JavaServer Pages（JSP）技术开发的应用程序。 Apache Commons FileUpload是一个独立的库，开发人员...

CVE-2020-13935：Apache Tomcat拒绝服务漏洞复现

weixin_38896449的博客

12-02

8918

CVE-2020-13935-Apache Tomcat拒绝服务漏洞1.漏洞描述2.影响版本3.漏洞检测4.漏洞修复 1.漏洞描述 CVE-2020-13935，WebSocket拒绝服务漏洞，漏洞等级为重要。 Apache Tomcat WebSocket帧中的有效负载长度未正确验证，无效的有效载荷长度可能会触发无限循环，多有效负载长度无效的请求可能会导致拒绝服务。 2.影响版本 Apache Tomcat 10.0.0-M1-10.0.0-M6 Apache Tomcat 9.0.0.M1-9.0.36

Apache Tomcat CVE-2020-13935安全漏洞POC验证

资源摘要信息:"该文件集涉及了Apache Tomcat的一个严重安全漏洞CVE-2020-13935，漏洞详情和验证POC（Proof of Concept，概念验证）已经包含其中。Apache Tomcat是一个流行的开源服务器，用于部署Java Servlet和Java...