Apache Tomcat拒絕服務(wù)漏洞
  • CNNVD編號(hào):未知
  • 危害等級(jí): 高危 
  • CVE編號(hào):CVE-2021-42340
  • 漏洞類型: 拒絕服務(wù)
  • 威脅類型:遠(yuǎn)程
  • 廠       商:未知
  • 漏洞來(lái)源:深信服
  • 發(fā)布時(shí)間:2021-10-18
  • 更新時(shí)間:2021-10-18

漏洞簡(jiǎn)介

1、組件介紹

Tomcat是Apache 軟件基金會(huì)(Apache Software Foundation)的Jakarta 項(xiàng)目中的一個(gè)核心項(xiàng)目,由Apache、Sun 和其他一些公司及個(gè)人共同開(kāi)發(fā)而成。由于有了Sun 的參與和支持,最新的Servlet 和JSP 規(guī)范總是能在Tomcat 中得到體現(xiàn),Tomcat 5支持最新的Servlet 2.4 和JSP 2.0 規(guī)范。Tomcat 服務(wù)器是一個(gè)免費(fèi)的開(kāi)放源代碼的Web 應(yīng)用服務(wù)器,屬于輕量級(jí)應(yīng)用服務(wù)器,在中小型系統(tǒng)和并發(fā)訪問(wèn)用戶不是很多的場(chǎng)合下被普遍使用,是開(kāi)發(fā)和調(diào)試JSP 程序的首選。

2、漏洞描述

2021年10月15日,深信服安全團(tuán)隊(duì)監(jiān)測(cè)到一則Apache Tomcat組件存在拒絕服務(wù)漏洞的信息,漏洞編號(hào):CVE-2021-42340,漏洞威脅等級(jí):高危。

該漏洞是由于對(duì)用戶的輸入沒(méi)有進(jìn)行嚴(yán)格的過(guò)濾導(dǎo)致,攻擊者可以構(gòu)造惡意數(shù)據(jù)進(jìn)行內(nèi)存泄漏攻擊,通過(guò)OutOfMemoryError最終造成服務(wù)器拒絕服務(wù)。

漏洞公示

暫無(wú)

參考網(wǎng)站

https://www.mail-archive.com/announce@apache.org/msg06812.html

受影響實(shí)體

全球有數(shù)百萬(wàn) Web服務(wù)器采用 Apache Tomcat,可能受漏洞影響的資產(chǎn)廣泛分布于世界各地,國(guó)內(nèi)省份中受影響資產(chǎn)分布于浙江、廣東、山東等省市。

目前受影響的Apache Tomcat版本:

10.1.0-M1 ≤ Apache Tomcat ≤ 10.1.0-M5

10.0.0-M10 ≤ Apache Tomcat ≤ 10.0.11

9.0.40 ≤ Apache Tomcat ≤ 9.0.53

8.5.60 ≤ Apache Tomcat ≤ 8.5.71

補(bǔ)丁

1、如何系統(tǒng)版本

Windows系統(tǒng):在tomcat的bin目錄下,輸入catalina version命令即可顯示版本信息

Linux系統(tǒng): 在bin目錄下執(zhí)行如下命令:sh version.sh 可顯示版本信息

2、官方修復(fù)建議

當(dāng)前官方已發(fā)布最新版本,建議受影響的用戶及時(shí)更新升級(jí)到最新版本。鏈接如下:

https://tomcat.apache.org/security-10.html

https://tomcat.apache.org/security-9.html

https://tomcat.apache.org/security-8.html