组件介绍

Tomcat是Apache 软件基金会（Apache Software Foundation）的Jakarta 项目中的一个核心项目，由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持，最新的Servlet 和JSP 规范总是能在Tomcat 中得到体现，Tomcat 5支持最新的Servlet 2.4 和JSP 2.0 规范。Tomcat 服务器是一个免费的开放源代码的Web 应用服务器，属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP 程序的首选。

漏洞描述

2021年10月15日，深信服安全团队监测到一则Apache Tomcat组件存在拒绝服务漏洞的信息，漏洞编号：CVE-2021-42340，漏洞威胁等级：高危。

该漏洞是由于对用户的输入没有进行严格的过滤导致，攻击者可以构造恶意数据进行内存泄漏攻击，通过OutOfMemoryError最终造成服务器拒绝服务。

影响范围

目前受影响的Apache Tomcat版本：

10.1.0-M1 ≤ Apache Tomcat ≤ 10.1.0-M5

10.0.0-M10 ≤ Apache Tomcat ≤ 10.0.11

9.0.40 ≤ Apache Tomcat ≤ 9.0.53

8.5.60 ≤ Apache Tomcat ≤ 8.5.71

1.查看系统版本

Windows系统：在tomcat的bin目录下，输入catalina version命令即可显示版本信息

Linux系统： 在bin目录下执行如下命令：sh version.sh 可显示版本信息

2.官方修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://tomcat.apache.org/security-10.html

https://tomcat.apache.org/security-9.html

https://tomcat.apache.org/security-8.html