2021年10月15日,8087金沙娱场城CERT监控到Apache Tomcat官方发布了安全更新,修复了Apache Tomcat拒绝服务漏洞(CVE-2021-42340)。其主要由于对历史错误63362(https://bz.apache.org/bugzilla/show_bug.cgi?id=63362)的修复,一旦WebSocket连接关闭,用于收集HTTP升级连接的对象就不会针对WebSocket的连接释放,从而引发了内存泄漏,恶意攻击者可以通过OutOfMemoryError利用该漏洞触发拒绝服务,定级为高危漏洞。
Apache Tomcat是美国阿帕奇(Apache)基金会开发的一款Servlet容器。其实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能。同时由于Apache Tomcat具备HTTP服务器功能,其也经常被用作单独的轻量级WEB应用服务器。
8087金沙娱场城CERT建议使用Apache Tomcat的客户尽快自查所使用版本并修复漏洞,同时自查服务器的安全状况。
CVE-2021-42340 :Apache Tomcat拒绝服务漏洞
Apache Tomcat >= 8.5.60 ,<= 8.5.71
Apache Tomcat >= 9.0.40 ,<= 9.0.53
Apache Tomcat >= 10.0.0-M10 ,<= 10.0.11
Apache Tomcat >= 10.1.0-M1 ,<= 10.1.0-M5
目前官方已发布Apache Tomcat的安全修复版本,请及时更新到安全版本:
Apache Tomcat 8.5.72
Apache Tomcat 9.0.54
Apache Tomcat 10.0.12
Apache Tomcat 10.1.0-M6