Apache Tomcat 是 Jakarta Servlet、Jakarta Expression Language 和 WebSocket 技术的免费开源实现。Tomcat 提供了一个“纯 Java”HTTP Web 服务器环境,Java 代码可以在其中运行。2021 年 10 月 14 日,Apache 正式发布了 Apache Tomcat 拒绝服务漏洞的风险公告,漏洞编号为 CVE-2021-42340,漏洞严重性很重要。拒绝服务攻击可以破坏Tomcat服务的可用性,漏洞危害更大。
漏洞详情
由于修复历史bug 63362而引入了内存泄漏。当Tomcat WebSocket连接关闭时,用于收集HTTP升级连接指标的对象没有释放,导致内存泄漏,因此攻击者可以造成拒绝通过 OutOfMemoryError 服务。
受影响的版本
Apache Tomcat 10.1.0-M1 到 10.1.0-M5
Apache Tomcat 10.0.0-M10 到 10.0.11
Apache Tomcat 9.0.40 到 9.0.53
Apache Tomcat 8.5.60 到 8.5.71
不受影响的版本
Apache Tomcat 10.1.0-M6 或更高版本
Apache Tomcat 10.0.12 或更高版本
Apache Tomcat 9.0.54 或更高版本
Apache Tomcat 8.5.72 或更高版本
解决方案
对此,我们建议用户及时将 Apache Tomcat 升级到最新版本。
TOP