CVE-2021-42340：Apache Tomcat DoS 漏洞警报

　　Apache Tomcat 是 Jakarta Servlet、Jakarta Expression Language 和 WebSocket 技术的免费开源实现。Tomcat 提供了一个“纯 Java”的 HTTP Web 服务器环境，Java 代码可以在其中运行。2021年10月14日，Apache官方发布了Apache Tomcat拒绝服务漏洞风险公告，漏洞编号为CVE-2021-42340，漏洞严重性很重要。拒绝服务攻击会破坏Tomcat服务的可用性，漏洞危害更大。

　　漏洞详情

　　由于修复了历史bug 63362，引入了内存泄漏。当Tomcat WebSocket连接关闭时，用于收集HTTP升级连接指标的对象没有释放，导致内存泄漏，因此攻击者可以拒绝通过 OutOfMemoryError 服务。

　　受影响的版本

　　• Apache Tomcat 10.1.0-M1 到 10.1.0-M5

　　• Apache Tomcat 10.0.0-M10 到 10.0.11

　　• Apache Tomcat 9.0.40 到 9.0.53

　　• Apache Tomcat 8.5.60 到 8.5.71

　　不受影响的版本

　　• Apache Tomcat 10.1.0-M6 或更高版本

　　• Apache Tomcat 10.0.12 或更高版本

　　• Apache Tomcat 9.0.54 或更高版本

　　• Apache Tomcat 8.5.72 或更高版本

　　解决方案

　　对此，我们建议用户及时将Apache Tomcat升级到最新版本。