Vulnérabilité dans le serveur d’application Tomcat d’Apache
Date de publication :
CVE-2021-42340[Score CVSS v3.1: 7,5]
Une vulnérabilité a été découverte concernant le serveur d’application Tomcat d’Apache.
Le correctif pour le dysfonctionnement 63362 de Tomcat datant de 2020 et concernant la journalisation des paquets " websocket " apporte un problème de fuite de mémoire. L'erreur Java " OutOfMemoryError " concernant le composant HTTP " Upgrade Handler " qui sert à choisir le niveau du protocole est affectée par cette vulnérabilité. La manipulation et l'injection d'une valeur d'entrée inconnue peut amener à un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Compromission du service
- Déni de Service (DoS)
Criticité
- Score CVSS v3.1: 7,5
CVE
Composants vulnérables.
Les versions vulnérables de Tomcat d’Apache sont les suivantes :
- Les versions Tomcat10.1.0-M1 à 10.1.0-M5
- Les versions Tomcat10.0.0-M10 à 10.0.11
- Les versions Tomcat9.0.40 à 9.0.53
- Les versions Tomcat8.5.60 à 8.5.71
Solutions ou recommandations
Il est recommandé d’effectuer la mise à jour suivante selon les versions :
- Pour les versions Tomcat10.1.0-M1 à 10.1.0-M5, effectuer la mise à jour 10.1.0-M6 ou une version plus récente.
- Pour les versions Tomcat10.0.0-M10 à 10.0.11, effectuer la mise à jour 10.0.12 ou une version plus récente.
- Pour les versions Tomcat9.0.40 à 9.0.53, effectuer la mise à jour 9.0.54 ou une version plus récente.
- Pour les versions Tomcat8.5.60 à 8.5.71, effectuer la mise à jour 8.5.72 ou une version plus récente.