安全通告
Apache Tomcat 拒绝服务漏洞安全风险通告
发布日期:2021-10-15
漏洞描述
近日,监测到官方发布了Apache Tomcat拒绝服务漏洞(CVE-2021-42340),由于历史bug 63362的修复,一旦WebSocket连接关闭,用于收集 HTTP 升级连接的对象就不会针对 WebSocket 的连接释放,从而引发了内存泄漏,恶意攻击者可以通过OutOfMemoryError利用该漏洞触发拒绝服务。
鉴于漏洞危害较大,建议客户升级到最新版本。
漏洞编号
CVE-2021-42340
漏洞危害
一旦WebSocket连接关闭,用于收集 HTTP 升级连接的对象就不会针对 WebSocket 的连接释放,从而引发了内存泄漏,恶意攻击者可以通过OutOfMemoryError利用该漏洞触发拒绝服务。
漏洞等级
高危
受影响版本
10.1.0-M1 <= Apache Tomcat 10.1.0-M1 <= 10.1.0-M5
10.0.0-M10 <= Apache Tomcat <= 10.0.11
9.0.40 <= Apache Tomcat <= 9.0.53
8.5.60 <= Apache Tomcat <= 8.5.71
修复方案
版本升级:https://tomcat.apache.org/
升级到 Apache Tomcat 10.1.0-M6 或更高版本
升级到 Apache Tomcat 10.0.12 或更高版本
升级到 Apache Tomcat 9.0.54 或更高版本
升级到 Apache Tomcat 8.5.72 或更高版本
参考链接
- https://lists.apache.org/thread.html/r83a35be60f06aca2065f188ee542b9099695d57ced2e70e0885f905c%40%3Cannounce.tomcat.apache.org%3E
- https://bz.apache.org/bugzilla/show_bug.cgi?id=63362