一、漏洞概述
近日,Apache 官方发布了Apache Tomcat 拒绝服务漏洞的风险通告,漏洞编号为CVE-2021-42340。由于对历史 bug 63362 的修复引入了内存泄漏,当Tomcat WebSocket连接关闭时,用于收集 HTTP 升级连接指标的对象没有被释放,这就造成了内存泄漏,于是攻击者能够通过OutOfMemoryError造成拒绝服务。拒绝服务攻击能够破坏Tomcat服务可用性,漏洞危害较大。影响版本如下表所示:
组件 |
影响版本 |
安全版本 |
Apache Tomcat |
10.1.0-M1 - 10.1.0-M5 |
>= 10.1.0-M6 |
Apache Tomcat |
10.0.0-M10 - 10.0.11 |
>= 10.0.12 |
Apache Tomcat |
9.0.40 - 9.0.53 |
>= 9.0.54 |
Apache Tomcat |
8.5.60 - 8.5.71 |
>= 8.5.72 |
二、防护措施
将影响的版本升级到安全版本。
