apache tomcat官方发布安全更新,修复了apache tomcat拒绝服务漏洞(cve-2021-42340)。其主要由于对历史错误63362(https://bz.apache.org/bugzilla/show_bug.cgi?id=63362)的修复,一旦websocket连接关闭,用于收集http升级连接的对象就不会针对websocket的连接释放,从而引发了内存泄漏,恶意攻击者可以通过outofmemoryerror利用该漏洞触发拒绝服务,定级为高危漏洞。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
apache tomcat >= 8.5.60 ,<= 8.5.71
apache tomcat >= 9.0.40 ,<= 9.0.53
apache tomcat >= 10.0.0-m10 ,<= 10.0.11
apache tomcat >= 10.1.0-m1 ,<= 10.1.0-m5
三、修复建议
目前官方已发布 apache tomcat 的安全修复版本,请及时更新到安全版本:
apache tomcat 8.5.72
apache tomcat 9.0.54
apache tomcat 10.0.12
apache tomcat 10.1.0-m6
