关于我们

Apache Tomcat 是 Jakarta Servlet、Jakarta Expression Language 和 WebSocket 技术的免费开源实现。Tomcat 提供了一个“纯 Java”HTTP Web 服务器环境，Java 代码可以在其中运行。2021 年 10 月 14 日，Apache 正式发布了 Apache Tomcat 拒绝服务漏洞的风险公告，漏洞编号为 CVE-2021-42340，漏洞严重性很重要。拒绝服务攻击可以破坏Tomcat服务的可用性，漏洞危害更大。

漏洞详情

由于修复历史bug 63362而引入了内存泄漏。当Tomcat WebSocket连接关闭时，用于收集HTTP升级连接指标的对象没有释放，导致内存泄漏，因此攻击者可以造成拒绝通过 OutOfMemoryError 服务。

受影响的版本

• Apache Tomcat 10.1.0-M1 到 10.1.0-M5

• Apache Tomcat 10.0.0-M10 到 10.0.11

• Apache Tomcat 9.0.40 到 9.0.53

• Apache Tomcat 8.5.60 到 8.5.71

不受影响的版本

• Apache Tomcat 10.1.0-M6 或更高版本

• Apache Tomcat 10.0.12 或更高版本

• Apache Tomcat 9.0.54 或更高版本

• Apache Tomcat 8.5.72 或更高版本

解决方案

对此，我们建议用户及时将 Apache Tomcat 升级到最新版本。