Tomcat组件介绍

Tomcat 是由 Apache 软件基金会下属的 Jakarta 项目开发的一个 Servlet 容器，按照 Sun Microsystems 提供的技术规范开发出来，Tomcat 8 实现了对 Servlet 3.1 和 JavaServer Page 2.3（JSP）的支持，并提供了作为 Web 服务器的一些特有功能，如 Tomcat 管理和控制平台、安全域管理和 Tomcat 附加组件等。属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP 程序的首选。

漏洞描述

Tomcat官方于7月份修复了CVE-2020-13935 websocket 拒绝服务漏洞。近日，国外某安全团队公开了相关poc代码，在受影响版本内的Tomcat开启websocket的情况下将会导致拒绝服务。

影响范围

目前受影响的Tomcat版本：

Apache Tomcat 10.0.0-M1 ~ 10.0.0-M6

Apache Tomcat 9.0.0.M1 ~ 9.0.36

Apache Tomcat 8.5.0 ~ 8.5.56

Apache Tomcat 7.0.27 ~ 7.0.104

修复建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://tomcat.apache.org/