【安全通告】Apache Tomcat多个漏洞风险通告
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到, Apache发布了Tomcat多个漏洞风险通告,漏洞编号CVE-2021-30639、CVE-2021-33037、CVE-2021-30640Tomcat发布安全更新,涉及多个漏洞,CVE-2021-30639、CVE-2021-33037、CVE-2021-30640Tomcat发布安全更新,涉及多个漏洞,CVE-2021-30639、CVE-2021-33037、CVE-2021-30640Tomcat发布安全更新,涉及多个漏洞,CVE-2021-30639、CVE-2021-33037、CVE-2021-30640Tomcat发布安全更新,涉及多个漏洞,CVE-2021-30639、CVE-2021-33037、CVE-2021-30640。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
CVE-2021-30639 Apache Tomcat DoS漏洞(高危):
tomcat在处理non-blocking I/O时,请求对象关联的错误标志在请求之间不会重置。 当发生non-blocking I/O错误,该请求对象处理的所有未来请求都将失败。不使用non-blocking I/O的应用程序不会受到此漏洞的影响。攻击者可通过断开连接,从而触发DoS。
CVE-2021-33037 Apache Tomcat HTTP 请求走私漏洞(高危):
Apache Tomcat 在某些情况下没有正确解析 HTTP 传输编码请求标头,导致在与反向代理一起使用时可能会请求走私。
CVE-2021-30640 Apache Tomcat JNDI realm 认证缺陷(低危):
JNDI Realm所做的查询并不总是正确地转义参数。在有限的情况下,用户可以使用其用户名的变体进行身份验证绕过 LockOut Realm 提供的某些保护。
风险等级
高风险
漏洞风险
漏洞被利用可导致拒绝服务等危害
影响版本
CVE-2021-30639:
Apache Tomcat < 10.0.5
Apache Tomcat < 9.0.45
Apache Tomcat < 8.5.65
CVE-2021-30640:
Apache Tomcat < 10.0.6
Apache Tomcat < 9.0.46
Apache Tomcat < 8.5.66
Apache Tomcat < 7.0.109
CVE-2021-33037:
Apache Tomcat < 10.0.7
Apache Tomcat < 9.0.48
Apache Tomcat < 8.5.68
修复版本
CVE-2021-30639:
Apache Tomcat >= 10.0.5
Apache Tomcat >= 9.0.45
Apache Tomcat >= 8.5.65
CVE-2021-30640:
Apache Tomcat >= 10.0.6
Apache Tomcat >= 9.0.46
Apache Tomcat >= 8.5.66
Apache Tomcat >= 7.0.109
CVE-2021-33037:
Apache Tomcat >= 10.0.7
Apache Tomcat >= 9.0.48
Apache Tomcat >= 8.5.68
修复建议
官方已发布漏洞修复版本,请评估业务是否受影响后,酌情升级至上述安全版本
【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外
漏洞参考
官方安全公告:
https://tomcat.apache.org/security-10.html
https://tomcat.apache.org/security-9.html
https://tomcat.apache.org/security-8.html