一、漏洞详情

Apache Tomcat是美国阿帕奇（Apache）基金会开发的一款Servlet容器。其实现了对Servlet和JavaServer Page（JSP）的支持，并提供了作为Web服务器的一些特有功能。同时由于Apache Tomcat具备HTTP服务器功能，其也经常被用作单独的轻量级WEB应用服务器。

Apache Tomcat官方发布安全更新，修复了Apache Tomcat拒绝服务漏洞（CVE-2021-42340）。其主要由于对历史错误63362（https://bz.apache.org/bugzilla/show_bug.cgi?id=63362）的修复，一旦WebSocket连接关闭，用于收集HTTP升级连接的对象就不会针对WebSocket的连接释放，从而引发了内存泄漏，恶意攻击者可以通过OutOfMemoryError利用该漏洞触发拒绝服务，定级为高危漏洞。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Apache Tomcat >= 8.5.60 ，<= 8.5.71

Apache Tomcat >= 9.0.40 ，<= 9.0.53

Apache Tomcat >= 10.0.0-M10 ，<= 10.0.11

Apache Tomcat >= 10.1.0-M1 ，<= 10.1.0-M5

三、修复建议

目前官方已发布 Apache Tomcat 的安全修复版本，请及时更新到安全版本：

Apache Tomcat 8.5.72

Apache Tomcat 9.0.54

Apache Tomcat 10.0.12

Apache Tomcat 10.1.0-M6