CVE-2021-42340：Apache Tomcat DoS 漏洞警报

 　　Apache Tomcat 是 Jakarta Servlet、Jakarta Expression Language 和 WebSocket 技术的免费开源实现。Tomcat 提供了一个可以运行 Java 代码的“纯 Java”HTTP Web 服务器环境。2021年10月14日，Apache官方针对Apache Tomcat拒绝服务漏洞发布了风险提示，漏洞编号为CVE-2021-42340，漏洞严重程度重要。拒绝服务攻击可以破坏Tomcat服务的可用性，而漏洞危害更大。

　　漏洞详情

　　由于历史bug 63362的修复引入了内存泄漏，当Tomcat WebSocket连接关闭时，用于收集HTTP升级连接指标的对象没有释放，导致内存泄漏，因此攻击者可以造成拒绝通过 OutOfMemoryError 服务。

　　受影响的版本

　　• Apache Tomcat 10.1.0-M1 至 10.1.0-M5

　　• Apache Tomcat 10.0.0-M10 至 10.0.11

　　• Apache Tomcat 9.0.40 至 9.0.53

　　• Apache Tomcat 8.5.60 至 8.5.71

　　不受影响的版本

　　• Apache Tomcat 10.1.0-M6 或更高版本

　　• Apache Tomcat 10.0.12 或更高版本

　　• Apache Tomcat 9.0.54 或更高版本

　　• Apache Tomcat 8.5.72 或更高版本

　　解决方案

　　对此，我们建议用户及时将Apache Tomcat升级到最新版本。