Vulnérabilité dans le serveur d’application Tomcat d’Apache

CVE-2021-42340 [Score CVSS v3.1: 7,5]
Une vulnérabilité a été découverte concernant le serveur d’application Tomcat d’Apache.

Le correctif pour le dysfonctionnement 63362 de Tomcat datant de 2020 et concernant la journalisation des paquets " websocket " apporte un problème de fuite de mémoire. L'erreur Java " OutOfMemoryError " concernant le composant HTTP " Upgrade Handler " qui sert à choisir le niveau du protocole est affectée par cette vulnérabilité. La manipulation et l'injection d'une valeur d'entrée inconnue peut amener à un déni de service.

 

Informations
+

Risques

  • Compromission du service
  • Déni de Service (DoS)

Criticité

  • Score CVSS v3.1: 7,5

CVE

Composants vulnérables.

Les versions vulnérables de Tomcat d’Apache sont les suivantes :

  • Les versions Tomcat 10.1.0-M1 à 10.1.0-M5
  • Les versions Tomcat 10.0.0-M10 à 10.0.11
  • Les versions Tomcat 9.0.40 à 9.0.53
  • Les versions Tomcat 8.5.60 à 8.5.71

Recommandations
+

Il est recommandé d’effectuer la mise à jour suivante selon les versions :

  • Pour les versions Tomcat 10.1.0-M1 à 10.1.0-M5, effectuer la mise à jour 10.1.0-M6 ou une version plus récente.
  • Pour les versions Tomcat 10.0.0-M10 à 10.0.11, effectuer la mise à jour 10.0.12 ou une version plus récente.
  • Pour les versions Tomcat 9.0.40 à 9.0.53, effectuer la mise à jour 9.0.54 ou une version plus récente.
  • Pour les versions Tomcat 8.5.60 à 8.5.71, effectuer la mise à jour 8.5.72 ou une version plus récente.