股票代码:688225
打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
威胁直击 | Apache Tomcat拒绝服务漏洞安全风险通告
发布时间 :2021年10月15日
类型 :勒索软件
分享:
漏洞描述
2021年10月15日,威尼斯432888camCERT监控到Apache Tomcat官方发布了安全更新,修复了Apache Tomcat拒绝服务漏洞(CVE-2021-42340)。其主要由于对历史错误63362(https://bz.apache.org/bugzilla/show_bug.cgi?id=63362)的修复,一旦WebSocket连接关闭,用于收集HTTP升级连接的对象就不会针对WebSocket的连接释放,从而引发了内存泄漏,恶意攻击者可以通过OutOfMemoryError利用该漏洞触发拒绝服务,定级为高危漏洞。
Apache Tomcat是美国阿帕奇(Apache)基金会开发的一款Servlet容器。其实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能。同时由于Apache Tomcat具备HTTP服务器功能,其也经常被用作单独的轻量级WEB应用服务器。
威尼斯432888camCERT建议使用Apache Tomcat的客户尽快自查所使用版本并修复漏洞,同时自查服务器的安全状况。
漏洞编号
CVE-2021-42340 :Apache Tomcat拒绝服务漏洞
漏洞状态
受影响的版本
Apache Tomcat >= 8.5.60 ,<= 8.5.71
Apache Tomcat >= 9.0.40 ,<= 9.0.53
Apache Tomcat >= 10.0.0-M10 ,<= 10.0.11
Apache Tomcat >= 10.1.0-M1 ,<= 10.1.0-M5
修复建议
目前官方已发布Apache Tomcat的安全修复版本,请及时更新到安全版本:
Apache Tomcat 8.5.72
Apache Tomcat 9.0.54
Apache Tomcat 10.0.12
Apache Tomcat 10.1.0-M6
参考链接
https://bz.apache.org/bugzilla/show_bug.cgi?id=63362
https://lists.apache.org/thread.html/r83a35be60f06aca2065f188ee542b9099695d57ced2e70e0885f905c%40%3Cannounce.tomcat.apache.org%3E
分享到微信
X