Apache Tomcat 拒絕服務漏洞通告

2021-10-17 11:00:06

報告編號:B6-2021-101501

報告來源:360CERT

報告作者:360CERT

更新日期:2021-10-15

1 漏洞簡述

2021年10月15日,360CERT監測發現Apache 官方釋出了Apache Tomcat 拒絕服務漏洞的風險通告,漏洞編號為CVE-2021-42340,漏洞等級:高危,漏洞評分:7.8

Tomcat是由Apache軟體基金會下屬的Jakarta專案開發的一個Servlet容器,使用場景豐富。拒絕服務攻擊能夠破壞Tomcat服務可用性,漏洞危害較大。

對此,360CERT建議廣大使用者及時將Apache Tomcat升級到最新版本。與此同時,請做好資產自查以及預防工作,以免遭受駭客攻擊。

2 風險等級

360CERT對該漏洞的評定結果如下

評定方式 等級
威脅等級 高危
影響面 廣泛
攻擊者價值
利用難度
360CERT評分 7.8

3 漏洞詳情

CVE-2021-42340: Apache Tomcat 拒絕服務漏洞

CVE: CVE-2021-42340

元件: tomcat

漏洞型別: 拒絕服務

影響: 破壞服務可用性

簡述: 由於對歷史 bug 63362 的修復引入了記憶體漏失。當Tomcat WebSocket連線關閉時,用於收集 HTTP 升級連線指標的物件沒有被釋放,這就造成了記憶體漏失,於是攻擊者能夠通過OutOfMemoryError造成拒絕服務。

4 影響版本

元件 影響版本 安全版本
Apache Tomcat 10.1.0-M1 - 10.1.0-M5 >= 10.1.0-M6
Apache Tomcat 10.0.0-M10 - 10.0.11 >= 10.0.12
Apache Tomcat 9.0.40 - 9.0.53 >= 9.0.54
Apache Tomcat 8.5.60 - 8.5.71 >= 8.5.72

5 修復建議

通用修補建議

根據影響版本中的資訊,排查並升級到安全版本

6 時間線

2021-10-14 Apache官方釋出通告

2021-10-15 360CERT釋出通告

7 參考連結

展開閱讀全文