首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】Apache Tomcat拒絕服務漏洞 (CVE-2021-42340)

發布時間 2021-10-15

0x00 漏洞概述

CVE     ID

CVE-2021-42340

時      間

2021-10-14

類      型

Dos

等      級

高危

遠程利用

影響范圍


攻擊復雜度


可用性


用戶交互


所需權限


PoC/EXP


在野利用

 

0x01 漏洞詳情

image.png

Tomcat是由Apache軟件基金會下屬的Jakarta項目開發的一個Servlet容器,實現了對Servlet和JavaServer Page("text-indent:28px;line-height:150%">2021年10月14日,Apache發布安全公告,公開了Apache Tomcat中的一個拒絕服務漏洞(CVE-2021-42340)。

由于63362 bug的修復導致了內存泄漏問題,為收集HTTP升級連接的指標而引入的對象在連接關閉后沒有為WebSocket連接釋放。隨著時間的推移,可能會通過 OutOfMemoryError 導致拒絕服務。

 

影響范圍

Apache Tomcat 10.1.0-M1 - 10.1.0-M5

Apache Tomcat 10.0.0-M10 - 10.0.11

Apache Tomcat 9.0.40 - 9.0.53

Apache Tomcat 8.5.60 - 8.5.71

 

0x02 處置建議

目前此漏洞已經修復,建議受影響的用戶及時升級更新到以下版本:

Apache Tomcat 10.1.0-M6 或更高版本

Apache Tomcat 10.0.12 或更高版本

Apache Tomcat 9.0.54 或更高版本

Apache Tomcat 8.5.72 或更高版本

下載鏈接:

https://tomcat.apache.org/download-10.cgi

 

0x03 參考鏈接

https://tomcat.apache.org/security-10.html

http://mail-archives.apache.org/mod_mbox/www-announce/202110.mbox/%3C9b8b83e3-7fec-a26d-7780-e5d4a85f7df6@apache.org%3E

https://github.com/apache/tomcat/commit/31d62426645824bdfe076a0c0eafa904d90b4fb9

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42340

 

0x04 更新版本

版本

日期

修改內容

V1.0

2021-10-15

首次發布

 

0x05 文檔附錄

CNVD:www.cnvd.org.cn

CNNVD:www.cnnvd.org.cn

CVE:cve.mitre.org

CVSS:www.first.org

NVD:nvd.nist.gov

 

0x06 關于我們

關注以下公眾號,獲取更多資訊:

image.png

上一篇 下一篇