Apache Tomcat 拒絕服務漏洞安全通告(CVE-2021-42340)

2021-12-24 新華三大安全

Tomcat是Apache軟體基金會Jakarta 項目開發的一個Servlet容器，實現了對Servlet和JavaServer Page（JSP）的支持。由於Tomcat本身也內含了一個HTTP伺服器，它也可以被視作一個單獨的Web伺服器。Tomcat作為免費的開放原始碼的Web應用伺服器，被普遍使用在輕量級Web應用服務的構架中。

近日，新華三攻防實驗室威脅預警團隊監測到Apache官方發布了Apache Tomcat拒絕服務漏洞(CVE-2021-42340)的風險通告，鑑於漏洞危害較大，建議客戶排查並升級到安全版本。

該漏洞是由於對歷史bug 63362的修復引入了內存洩漏，當Tomcat WebSocket連接關閉時，用於收集 HTTP升級連接指標的對象沒有被釋放，造成了內存洩漏。隨著時間的推移，可能會通過 OutOfMemoryError導致拒絕服務。惡意攻擊者可能會利用此漏洞實施拒絕服務攻擊。

10.1.0-M1 <= Apache Tomcat <= 10.1.0-M5

10.0.0-M10 <= Apache Tomcat <= 10.0.11

9.0.40 <= Apache Tomcat <= 9.0.53

8.5.60 <= Apache Tomcat <= 8.5.71

漏洞等級：高危

目前，Apache官方已發布版本更新對此漏洞進行修復，建議用戶儘快升級到以下安全版本。官方下載連結：

https://tomcat.apache.org/

安全版本：

Apache Tomcat >= 10.1.0-M6

Apache Tomcat >= 10.0.12

Apache Tomcat >= 9.0.54

Apache Tomcat >= 8.5.72

https://tomcat.apache.org/security-10.html

https://bz.apache.org/bugzilla/show_bug.cgi?id=63362

相關焦點

【漏洞通告】Apache Tomcat 拒絕服務漏洞(CVE-2021-41079)

0x00 漏洞概述CVE IDCVE-2021-41079時
【漏洞預警】Apache Tomcat CVE-2018-1305安全繞過漏洞

綜述2018年2月23日，Apache Tomcat報告了一個漏洞，該漏洞可以繞過一些安全控制，漏洞編號為CVE
騰訊安全研究員對OpenSSL拒絕服務漏洞CVE-2021-3449的分析

長按二維碼關注騰訊安全威脅情報中心
Apache-Tomcat-Ajp漏洞(CVE-2020-1938)漏洞復現

此漏洞為文件包含漏洞，攻擊者可利用該漏洞讀取或包含 Tomcat 上所有 webapp 目錄下的任意文件，如：webapp 配置文件、原始碼等。二、漏洞編號：cnvd-2020-10487cve-2020-1938三、受影響版本：apache tomcat 6apache tomcat 7 < 7.0.100apache tomcat 8 < 8.5.51apache tomcat 9 < 9.0.31已修復版本
【通告更新】Apache Tomcat伺服器文件包含漏洞安全風險通告第三次更新

Tomcat伺服器是一個免費的開放原始碼的Web應用伺服器，被普遍使用在輕量級Web應用服務的構架中。*Tomcat 7.* < 7.0.100Tomcat 8.* < 8.5.51Tomcat 9.* < 9.0.31目前，Apache官方已發布9.0.31、8.5.51及7.0.100版本對此漏洞進行修復，建議用戶儘快升級新版本：https://tomcat.apache.org/download-70.cgi
Apache Tomcat文件包含漏洞(CVE-2020-1938)安全通告

目前，Apache官方已發布9.0.31、8.5.51及7.0.100版本對此漏洞進行修復，建議用戶儘快升級新版本。官方下載連結：http://tomcat.apache.org/download-70.cgihttp://tomcat.apache.org/download-80.cgihttp://tomcat.apache.org/download-90.cgi新華三IPS規則庫將在1.0.87版本支持對該漏洞的攔截，建議關注新華三官網及時升級版本並使能相關規則
Apache Tomcat高危安全漏洞風險提示

根據公告，當Tomcat使用NTFS文件系統從網絡位置提供資源時，存在未授權查看JSP原始碼的漏洞，導致信息洩露效果，建議及時更新到漏洞修復的版本。Apache Tomcat歷史安全公告請參考：Apache Tomcat 10.x版本http://tomcat.apache.org/security-10.htmlApache Tomcat 9.x版本http://tomcat.apache.org/security-9.htmlApache Tomcat 8.5
【漏洞預警】天融信關於Apache Tomcat(CVE-2019-0232)遠程代碼執行漏洞預警

0x01漏洞描述4月10日Apache發布公告稱，在Windows平臺上運行的Tomcat存在一個遠程代碼執行漏洞。漏洞成因是當將參數從JRE傳遞到Windows環境時，由於CGI Servlet中的輸入驗證錯誤而存在該漏洞。
【通告更新】Apache Log4j任意代碼執行漏洞安全風險通告第五次更新

2021年12月15日，奇安信CERT監測到Apache Log4j官方發布 Apache Log4j 拒絕服務攻擊漏洞(CVE-2021-45046)安全通告，該漏洞在非默認配置下可能導致拒絕服務攻擊，影響範圍增至2.15.0版本，奇安信CERT建議用戶儘快升級至安全版本。
【安全風險通告】ModSecurity拒絕服務漏洞安全風險通告

此漏洞影響ModSecurity的3.0到3.0.3版本。ModSecurity是一個開源的、跨平臺的Web應用防火牆（WAF），被稱為WAF界的「瑞士軍刀」。它可以通過檢查Web服務接收到的數據，以及發送出去的數據來對網站進行安全防護。
【漏洞通告】Apache遠程代碼執行漏洞(CVE-2021-42013)

2021年 10 月 7 日，Apache 軟體基金會發布了Apache HTTP Server 2.4.51 ，以修復 Apache HTTP Server 2.4.49 和 2.4.50 中的路徑遍歷和遠程代碼執行漏洞（CVE-2021-41773、CVE-2021-42013），目前這些漏洞已被廣泛利用。
Tomcat 又爆出高危漏洞!!Tomcat 8.5 ~ 10 中招…

不要使用含有漏洞的組件每次也都被評為 OWASP 10 大安全漏洞之一。https://mp.weixin.qq.com/s/SWKbpOHCyK7ZPc6AokaHGw前段時間這個 Tomcat AJP 協議漏洞大躁，2020/06/25 這天 Tomcat 又爆出 HTTP/2 拒絕服務漏洞：http://mail-archives.apache.org/mod_mbox
CVE-2021-3156:Sudo 堆緩衝區溢出漏洞通告

對於RHEL 8，使用命令安裝 sudo debuginfo：debuginfo-install sudo。2.創建以下systemtap腳本（將文件命名為sudoedit-block.stap）:probe process("/usr/bin/sudo").function("main") { command = cmdline_args(0,0,""); if (strpos(command, "edit") >= 0) {
【漏洞通告】Apache OpenOffice 10月多個安全漏洞

0x00 漏洞概述2021年10月11日，Apache發布安全公告，公開披露了Apache OpenOffice
[漏洞預警] Apache Tomcat伺服器存在文件包含漏洞(CVE-2020-1938)

Tomcat是Apache軟體基金會Jakarta 項目中的一個核心項目，也是目前最為流行的Web伺服器之一，具有眾多的企業和個人用戶，被普遍使用在輕量級Web應用服務的構架中2020年2月20日，國家信息安全漏洞共享平臺公布了Apache Tomcat伺服器存在文件包含漏洞（漏洞編號：CNVD-2020-10487/ CNNVD-202002-1052/ CVE-2020-1938）。
【安全風險通告】Shiro又爆高危漏洞,Apache Shiro身份驗證繞過漏洞安全風險通告

2020年8月18日，奇安信CERT監測到Apache Shiro官方發布安全通告 Apache Shiro身份驗證繞過漏洞（CVE-2020-13933），經過分析，攻擊者可以通過構造特殊的HTTP請求實現身份驗證繞過。鑑於該漏洞影響較大，建議客戶儘快升級到最新版本。
【漏洞通告】VMware ESXi身份驗證繞過漏洞(CVE-2021-21994)

間2021-07-15類型身份驗證繞過等級高危遠程利用是影響範圍攻擊複雜度高可用性低用戶交互無所需權限無PoC/EXP未公開在野利用否 0x01 漏洞詳情2021年7月13日，Vmware發布安全公告，修復了VMware ESXi 中的一個身份驗證繞過漏洞（CVE-2021-21994）和一個拒絕服務漏洞（CVE-2021-21995），這2個漏洞影響VMware ESXi和VMwareCloud Foundation
Saltstack高危漏洞(CVE-2021-25281等)風險通告,騰訊安全全面檢測

2021年2月25日，SaltStack發布安全更新，修復了由騰訊安全雲鼎實驗室提交的三個安全漏洞。
Apache-Tomcat-Ajp(cve-2020-1938)漏洞復現

一、漏洞描述：Apache與Tomcat都是Apache開源組織開發的用於處理
【通告更新】Apache Log4j任意代碼執行漏洞安全風險通告第二次更新

Log4j存在任意代碼執行漏洞，經過分析，該組件存在Java JNDI注入漏洞，當程序將用戶輸入的數據進行日誌，即可觸發此漏洞，成功利用此漏洞可以在目標伺服器上執行任意代碼。2.緩解措施：（1）. jvm參數 -Dlog4j2.formatMsgNoLookups=true （2）. log4j2.formatMsgNoLookups=True（3）.系統環境變量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設置為true

Apache Tomcat 拒絕服務漏洞安全通告(CVE-2021-42340)

相關焦點

【漏洞通告】Apache Tomcat 拒絕服務漏洞(CVE-2021-41079)

【漏洞預警】Apache Tomcat CVE-2018-1305安全繞過漏洞

騰訊安全研究員對OpenSSL拒絕服務漏洞CVE-2021-3449的分析

Apache-Tomcat-Ajp漏洞(CVE-2020-1938)漏洞復現

【通告更新】Apache Tomcat伺服器文件包含漏洞安全風險通告第三次更新

Apache Tomcat文件包含漏洞(CVE-2020-1938)安全通告

Apache Tomcat高危安全漏洞風險提示

【漏洞預警】 天融信關於Apache Tomcat(CVE-2019-0232)遠程代碼執行漏洞預警

【通告更新】Apache Log4j任意代碼執行漏洞安全風險通告第五次更新

【安全風險通告】ModSecurity拒絕服務漏洞安全風險通告

【漏洞通告】Apache遠程代碼執行漏洞(CVE-2021-42013)

Tomcat 又爆出高危漏洞!!Tomcat 8.5 ~ 10 中招…

CVE-2021-3156:Sudo 堆緩衝區溢出漏洞通告

【漏洞通告】Apache OpenOffice 10月多個安全漏洞

[漏洞預警] Apache Tomcat伺服器存在文件包含漏洞(CVE-2020-1938)

【安全風險通告】Shiro又爆高危漏洞,Apache Shiro身份驗證繞過漏洞安全風險通告

【漏洞通告】VMware ESXi身份驗證繞過漏洞(CVE-2021-21994)

Saltstack高危漏洞(CVE-2021-25281等)風險通告,騰訊安全全面檢測

Apache-Tomcat-Ajp(cve-2020-1938)漏洞復現

【通告更新】Apache Log4j任意代碼執行漏洞安全風險通告第二次更新

【漏洞預警】天融信關於Apache Tomcat(CVE-2019-0232)遠程代碼執行漏洞預警