【安全通告】Apache Tomcat拒绝服务漏洞风险通告(CVE-2021-42340)
摘要:
尊敬的腾讯云用户,您好!
腾讯云安全运营中心监测到, Apache官方发布安全通告,披露了Apache Tomcat存在拒绝服务漏洞,漏洞编号CVE-2021-42340。可导致拒绝服务等危害。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个小型的轻量级应用服务器。
在Tomcat中存在内存泄漏问题。 一旦 WebSocket 连接关闭,用于收集 HTTP 升级连接指标的对象就不会针对 WebSocket 连接发布。 由此造成了内存泄漏,随着时间的推移,可能会通过 OutOfMemoryError 导致拒绝服务。
风险等级
高风险
漏洞风险
攻击者可利用该漏洞导致拒绝服务
影响版本
Apache Tomcat >= 10.1.0-M1, =< 10.1.0-M5
Apache Tomcat >= 10.0.0-M10, =< 10.0.11
Apache Tomcat >=9.0.40, =< 9.0.53
Apache Tomcat >= 8.5.60, =< 8.5.71
安全版本
Apache Tomcat >= 10.1.0-M6
Apache Tomcat >= 10.0.12
Apache Tomcat >= 9.0.54
Apache Tomcat >= 8.5.72
修复建议
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考
https://tomcat.apache.org/security-10.html
https://tomcat.apache.org/security-9.html
https://tomcat.apache.org/security-8.html