一、漏洞详情
Apache Tomcat是美国阿帕奇(Apache)基金会开发的一款Servlet容器。其实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能。同时由于Apache Tomcat具备HTTP服务器功能,其也经常被用作单独的轻量级WEB应用服务器。
Apache Tomcat官方发布安全更新,修复了Apache Tomcat拒绝服务漏洞(CVE-2021-42340)。其主要由于对历史错误63362(https://bz.apache.org/bugzilla/show_bug.cgi?id=63362)的修复,一旦WebSocket连接关闭,用于收集HTTP升级连接的对象就不会针对WebSocket的连接释放,从而引发了内存泄漏,恶意攻击者可以通过OutOfMemoryError利用该漏洞触发拒绝服务,定级为高危漏洞。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Apache Tomcat >= 8.5.60 ,<= 8.5.71
Apache Tomcat >= 9.0.40 ,<= 9.0.53
Apache Tomcat >= 10.0.0-M10 ,<= 10.0.11
Apache Tomcat >= 10.1.0-M1 ,<= 10.1.0-M5
三、修复建议
目前官方已发布 Apache Tomcat 的安全修复版本,请及时更新到安全版本:
Apache Tomcat 8.5.72
Apache Tomcat 9.0.54
Apache Tomcat 10.0.12
Apache Tomcat 10.1.0-M6
