PT-2021-3585 · Apache+1 · Apache Tomcat+1
Publicado
2021-04-06
·
Atualizado
2025-07-11
·
CVE-2021-30639
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões 8.5.64 do Apache Tomcat
Versões 9.0.44 do Apache Tomcat
Versões 10.0.3 a 10.0.4 do Apache Tomcat
Descrição
Uma vulnerabilidade no Apache Tomcat permite que um invasor provoque remotamente uma negação de serviço. O problema está relacionado a um erro introduzido como parte de uma alteração para melhorar o tratamento de erros durante E/S não bloqueante, o que significava que o sinalizador de erro associado ao objeto
Request não era reinicializado entre as solicitações. Isso permite que usuários provoquem erros de E/S não bloqueante, por exemplo, interrompendo uma conexão, criando assim a possibilidade de provocar uma negação de serviço. Aplicativos que não utilizam E/S não bloqueante não estão expostos a essa vulnerabilidade.Recomendações
Para o Apache Tomcat versão 8.5.64, atualize para uma versão que inclua a correção para este problema.
Para o Apache Tomcat versão 9.0.44, atualize para uma versão que inclua a correção para este problema.
Para as versões 10.0.3 a 10.0.4 do Apache Tomcat, atualize para uma versão que inclua a correção para este problema.
Como solução alternativa temporária, considere desativar a E/S não bloqueante para impedir a exploração deste problema até que um patch esteja disponível.
Exploit
Correção
DoS
Improper Handling of Exceptional Conditions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Apache Tomcat