Apache Tomcat 拒绝服务漏洞通告

来源: 投稿
作者: 360CERT
2021-10-17

报告编号:B6-2021-101501

报告来源:360CERT

报告作者:360CERT

更新日期:2021-10-15

1 漏洞简述

2021年10月15日,360CERT监测发现Apache 官方发布了Apache Tomcat 拒绝服务漏洞的风险通告,漏洞编号为CVE-2021-42340,漏洞等级:高危,漏洞评分:7.8

Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,使用场景丰富。拒绝服务攻击能够破坏Tomcat服务可用性,漏洞危害较大。

对此,360CERT建议广大用户及时将Apache Tomcat升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

2 风险等级

360CERT对该漏洞的评定结果如下

评定方式 等级
威胁等级 高危
影响面 广泛
攻击者价值
利用难度
360CERT评分 7.8

3 漏洞详情

CVE-2021-42340: Apache Tomcat 拒绝服务漏洞

CVE: CVE-2021-42340

组件: tomcat

漏洞类型: 拒绝服务

影响: 破坏服务可用性

简述: 由于对历史 bug 63362 的修复引入了内存泄漏。当Tomcat WebSocket连接关闭时,用于收集 HTTP 升级连接指标的对象没有被释放,这就造成了内存泄漏,于是攻击者能够通过OutOfMemoryError造成拒绝服务。

4 影响版本

组件 影响版本 安全版本
Apache Tomcat 10.1.0-M1 - 10.1.0-M5 >= 10.1.0-M6
Apache Tomcat 10.0.0-M10 - 10.0.11 >= 10.0.12
Apache Tomcat 9.0.40 - 9.0.53 >= 9.0.54
Apache Tomcat 8.5.60 - 8.5.71 >= 8.5.72

5 修复建议

通用修补建议

根据影响版本中的信息,排查并升级到安全版本

6 时间线

2021-10-14 Apache官方发布通告

2021-10-15 360CERT发布通告

7 参考链接

https://www.mail.archive.com/announce@apache.org/msg06812.html

展开阅读全文
6 收藏
分享
加载中
精彩评论
大多都没开WS不受影响
2021-10-18 09:41
1
举报
最新评论 (5)
是否可以理解为没使用tomcat websocket时就不会受影响?
2021-10-18 11:09
0
回复
举报
我有个好办法,,服务在内网物理隔离运行,漏不漏的,跟我没关系。
2021-10-18 11:07
0
回复
举报
大多都没开WS不受影响
2021-10-18 09:41
1
回复
举报
wc,又得忙活了
2021-10-17 18:23
0
回复
举报
您好,请问TCP协议可以修改数据包改为代替其他人发数据包吗?
2021-10-17 12:19
0
回复
举报
更多评论
5 评论
6 收藏
分享
返回顶部
顶部