一、概要

近日，华为云关注到到外部安全研究人员公开了Tomcat官方于7月份披露的WebSocket拒绝服务漏洞（CVE-2020-13935）细节和POC，CVSS评分7.5，受影响版本内的Tomcat开启WebSocket的情况下会受此漏洞影响。

详情请参考链接：

https://blog.redteam-pentesting.de/2020/websocket-vulnerability-tomcat/

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急） 

三、漏洞影响范围

受影响版本：

Apache Tomcat 10.0.0-M1 ~ 10.0.0-M6

Apache Tomcat 9.0.0.M1 ~ 9.0.36

Apache Tomcat 8.5.0 ~ 8.5.56

Apache Tomcat 7.0.27 ~ 7.0.104

安全版本：

Apache Tomcat 10.0.0-M7+

Apache Tomcat 9.0.37+

Apache Tomcat 8.5.57+

四、漏洞处置

升级到安全版本：

http://tomcat.apache.org/

或采取以下缓解措施：

非必要服务停用 WebSocket。

注：修复漏洞前请将资料备份，并进行充分测试。