Apache Tomcat 拒絕服務(wù)漏洞通告

作者 | 360CERT

報告編號：B6-2021-101501

報告來源：360CERT

報告作者：360CERT

更新日期：2021-10-15

1 漏洞簡述

2021年10月15日，360CERT監(jiān)測發(fā)現(xiàn)Apache 官方發(fā)布了Apache Tomcat 拒絕服務(wù)漏洞的風(fēng)險通告，漏洞編號為CVE-2021-42340，漏洞等級：高危，漏洞評分：7.8。

Tomcat是由Apache軟件基金會下屬的Jakarta項(xiàng)目開發(fā)的一個Servlet容器，使用場景豐富。拒絕服務(wù)攻擊能夠破壞Tomcat服務(wù)可用性，漏洞危害較大。

對此，360CERT建議廣大用戶及時將Apache Tomcat升級到最新版本。與此同時，請做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

2 風(fēng)險等級

360CERT對該漏洞的評定結(jié)果如下

3 漏洞詳情

CVE-2021-42340: Apache Tomcat 拒絕服務(wù)漏洞

CVE: CVE-2021-42340

組件: tomcat

漏洞類型: 拒絕服務(wù)

影響: 破壞服務(wù)可用性

簡述: 由于對歷史 bug 63362 的修復(fù)引入了內(nèi)存泄漏。當(dāng)Tomcat WebSocket連接關(guān)閉時，用于收集 HTTP 升級連接指標(biāo)的對象沒有被釋放，這就造成了內(nèi)存泄漏，于是攻擊者能夠通過OutOfMemoryError造成拒絕服務(wù)。如果您正在學(xué)習(xí)Spring Boot，推薦一個連載多年還在繼續(xù)更新的免費(fèi)教程：http://blog.didispace.com/spring-boot-learning-2x/

4 影響版本

5 修復(fù)建議

通用修補(bǔ)建議

根據(jù)影響版本中的信息，排查并升級到安全版本

6 時間線

2021-10-14 Apache官方發(fā)布通告

2021-10-15 360CERT發(fā)布通告

7 參考鏈接

https://www.mail.archive.com/[email protected]/msg06812.html

技術(shù)交流群

最近有很多人問，有沒有讀者交流群，想知道怎么加入。加入方式很簡單，有興趣的同學(xué)，只需要點(diǎn)擊下方卡片，回復(fù)“加群“，即可免費(fèi)加入我們的高質(zhì)量技術(shù)交流群！

點(diǎn)擊閱讀原文，送你免費(fèi)Spring Boot教程！