Apache Tomcat 拒絕服務漏洞安全風險通告
風險通告
近日,奇安信CERT監測到官方發布了Apache Tomcat拒絕服務漏洞(CVE-2021-42340),由于歷史bug 63362的修復,一旦WebSocket連接關閉,用于收集 HTTP 升級連接的對象就不會針對 WebSocket 的連接釋放,從而引發了內存泄漏,惡意攻擊者可以通過OutOfMemoryError利用該漏洞觸發拒絕服務。鑒于漏洞危害較大,建議客戶升級到最新版本。
當前漏洞狀態
漏洞描述
Tomcat是由Apache軟件基金會屬下Jakarta項目開發的Servlet容器,按照Sun Microsystems提供的技術規范,實現了對Servlet和JavaServer Page(JSP)的支持,并提供了作為Web服務器的一些特有功能,如Tomcat管理和控制平臺、安全局管理和Tomcat閥等。由于Tomcat本身也內含了HTTP服務器,因此也可以視作單獨的Web服務器。
近日,奇安信CERT監測到官方發布了Apache Tomcat拒絕服務漏洞(CVE-2021-42340),由于歷史bug 63362的修復,一旦WebSocket連接關閉,用于收集 HTTP 升級連接的對象就不會針對 WebSocket 的連接釋放,從而引發了內存泄漏,惡意攻擊者可以通過OutOfMemoryError利用該漏洞觸發拒絕服務。鑒于漏洞危害較大,建議客戶升級到最新版本。
風險等級
風險評級為:高危
風險等級:藍色(一般事件)
影響范圍
10.1.0-M1 <= Apache Tomcat 10.1.0-M1 <= 10.1.0-M5
10.0.0-M10 <= Apache Tomcat <= 10.0.11
9.0.40 <= Apache Tomcat <= 9.0.53
8.5.60 <= Apache Tomcat <= 8.5.71
處置建議
版本升級:https://tomcat.apache.org/
升級到 Apache Tomcat 10.1.0-M6 或更高版本
升級到 Apache Tomcat 10.0.12 或更高版本
升級到 Apache Tomcat 9.0.54 或更高版本
升級到 Apache Tomcat 8.5.72 或更高版本
