1. 首页>
  2. 资讯中心

【安全通告】Apache Tomcat多个漏洞风险通告

腾讯云 2021年07月14日 浏览30

    新闻 资讯 腾讯云代理 腾讯云直播申请 游戏上云

摘要:

尊敬的腾讯云用户,您好!

近日,腾讯云安全运营中心监测到, Apache发布了Tomcat多个漏洞风险通告,漏洞编号CVE-2021-30639、CVE-2021-33037、CVE-2021-30640Tomcat发布安全更新,涉及多个漏洞,CVE-2021-30639、CVE-2021-33037、CVE-2021-30640Tomcat发布安全更新,涉及多个漏洞,CVE-2021-30639、CVE-2021-33037、CVE-2021-30640Tomcat发布安全更新,涉及多个漏洞,CVE-2021-30639、CVE-2021-33037、CVE-2021-30640Tomcat发布安全更新,涉及多个漏洞,CVE-2021-30639、CVE-2021-33037、CVE-2021-30640。

 

为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

 

漏洞详情
CVE-2021-30639 Apache Tomcat DoS漏洞(高危):
tomcat在处理non-blocking I/O时,请求对象关联的错误标志在请求之间不会重置。 当发生non-blocking I/O错误,该请求对象处理的所有未来请求都将失败。不使用non-blocking I/O的应用程序不会受到此漏洞的影响。攻击者可通过断开连接,从而触发DoS。  

CVE-2021-33037 Apache Tomcat HTTP 请求走私漏洞(高危):
Apache Tomcat 在某些情况下没有正确解析 HTTP 传输编码请求标头,导致在与反向代理一起使用时可能会请求走私。

CVE-2021-30640 Apache Tomcat JNDI realm 认证缺陷(低危):
JNDI Realm所做的查询并不总是正确地转义参数。在有限的情况下,用户可以使用其用户名的变体进行身份验证绕过 LockOut Realm 提供的某些保护。
 

风险等级

高风险

 

漏洞风险

漏洞被利用可导致拒绝服务等危害

 

影响版本
CVE-2021-30639:
Apache Tomcat < 10.0.5
Apache Tomcat < 9.0.45
Apache Tomcat < 8.5.65

CVE-2021-30640:
Apache Tomcat < 10.0.6
Apache Tomcat < 9.0.46
Apache Tomcat < 8.5.66
Apache Tomcat < 7.0.109

CVE-2021-33037:
Apache Tomcat < 10.0.7
Apache Tomcat < 9.0.48
Apache Tomcat < 8.5.68

 

修复版本

CVE-2021-30639:
Apache Tomcat >= 10.0.5
Apache Tomcat >= 9.0.45
Apache Tomcat >= 8.5.65

CVE-2021-30640:
Apache Tomcat >= 10.0.6
Apache Tomcat >= 9.0.46
Apache Tomcat >= 8.5.66
Apache Tomcat >= 7.0.109

CVE-2021-33037:
Apache Tomcat >= 10.0.7
Apache Tomcat >= 9.0.48
Apache Tomcat >= 8.5.68

 

修复建议

官方已发布漏洞修复版本,请评估业务是否受影响后,酌情升级至上述安全版本

 

【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外

 

漏洞参考

官方安全公告:

https://tomcat.apache.org/security-10.html

https://tomcat.apache.org/security-9.html
https://tomcat.apache.org/security-8.html

相关文章

腾讯云服务器

为企业提供:云服务器/视频/游戏/微信开发/软件/网站/APP…云解决方案

  • QQ群咨询:377986805 咨询电话:15818558013
  • 技术支持:0755-33940501-808 17603077568
  • 产品咨询:0755-33940501-803 15818558013