首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】Apache Tomcat 拒絕服務漏洞(CVE-2021-41079)

發布時間 2021-09-16

0x00 漏洞概述

CVE     ID

CVE-2021-41079

時      間

2021-09-15

類      型

DoS

等      級

高危

遠程利用

影響范圍


攻擊復雜度


可用性


用戶交互


所需權限


PoC/EXP

未公開

在野利用

 

0x01 漏洞詳情

image.png

Tomcat是由Apache軟件基金會下屬的Jakarta項目開發的一個Servlet容器,實現了對Servlet和JavaServer Page("text-indent:28px;line-height:150%">2021年9月15日,Apache發布安全公告,修復了Tomcat中的一個拒絕服務漏洞(CVE-2021-41079)。當Tomcat被配置為使用NIO+OpenSSL或NIO2+OpenSSL進行TLS時,可以使用惡意數據包觸發無限循環,從而導致拒絕服務。

 

影響范圍

Apache Tomcat 10.0.0-M1 到 10.0.2

Apache Tomcat 9.0.0-M1 到 9.0.43

Apache Tomcat 8.5.0 到 8.5.63

 

0x02 處置建議

目前該漏洞已經修復,建議受影響的用戶及時升級更新到以下版本:

Apache Tomcat 10.0.4 或更高版本

Apache Tomcat 9.0.44 或更高版本

Apache Tomcat 8.5.64 或更高版本

注:該漏洞已在Apache Tomcat 10.0.3 版本(發布未通過)中修復。

下載鏈接:

https://tomcat.apache.org/

 

0x03 參考鏈接

http://mail-archives.apache.org/mod_mbox/www-announce/202109.mbox/%3Ce1079445-c7b5-c4b0-3155-85c4cfc839ea@apache.org%3E

https://tomcat.apache.org/download-10.cgi

 

0x04 更新版本

版本

日期

修改內容

V1.0

2021-09-16

首次發布

 

0x05 文檔附錄

CNVD:www.cnvd.org.cn

CNNVD:www.cnnvd.org.cn

CVE:cve.mitre.org

CVSS:www.first.org

NVD:nvd.nist.gov

 

0x06 關于我們

關注以下公眾號,獲取更多資訊:

image.png

上一篇 下一篇