報告編號:B6-2021-101501
報告來源:360CERT
報告作者:360CERT
更新日期:2021-10-15
1 漏洞簡述
2021年10月15日,360CERT監測發現Apache 官方
釋出了Apache Tomcat 拒絕服務漏洞
的風險通告,漏洞編號為CVE-2021-42340
,漏洞等級:高危
,漏洞評分:7.8
。
Tomcat是由Apache軟體基金會下屬的Jakarta專案開發的一個Servlet容器,使用場景豐富。拒絕服務攻擊能夠破壞Tomcat服務可用性,漏洞危害較大。
對此,360CERT建議廣大使用者及時將Apache Tomcat
升級到最新版本。與此同時,請做好資產自查以及預防工作,以免遭受駭客攻擊。
2 風險等級
360CERT對該漏洞的評定結果如下
評定方式 | 等級 |
---|---|
威脅等級 | 高危 |
影響面 | 廣泛 |
攻擊者價值 | 高 |
利用難度 | 低 |
360CERT評分 | 7.8 |
3 漏洞詳情
CVE-2021-42340: Apache Tomcat 拒絕服務漏洞
CVE: CVE-2021-42340
元件: tomcat
漏洞型別: 拒絕服務
影響: 破壞服務可用性
簡述: 由於對歷史 bug 63362 的修復引入了記憶體漏失。當Tomcat WebSocket連線關閉時,用於收集 HTTP 升級連線指標的物件沒有被釋放,這就造成了記憶體漏失,於是攻擊者能夠通過OutOfMemoryError造成拒絕服務。
4 影響版本
元件 | 影響版本 | 安全版本 |
---|---|---|
Apache Tomcat | 10.1.0-M1 - 10.1.0-M5 | >= 10.1.0-M6 |
Apache Tomcat | 10.0.0-M10 - 10.0.11 | >= 10.0.12 |
Apache Tomcat | 9.0.40 - 9.0.53 | >= 9.0.54 |
Apache Tomcat | 8.5.60 - 8.5.71 | >= 8.5.72 |
5 修復建議
通用修補建議
根據影響版本
中的資訊,排查並升級到安全版本
6 時間線
2021-10-14 Apache官方釋出通告
2021-10-15 360CERT釋出通告