PT-2021-7027 · Apache+5 · Apache Tomcat+5
David Frankson
+1
·
Publicado
2021-03-10
·
Atualizado
2026-03-26
·
CVE-2021-41079
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Apache Tomcat de 8.5.0 a 8.5.63
Versões do Apache Tomcat de 9.0.0-M1 a 9.0.43
Versões do Apache Tomcat de 10.0.0-M1 a 10.0.2
Descrição
O problema decorre da validação insuficiente de pacotes TLS recebidos. Quando configurado para usar NIO+OpenSSL ou NIO2+OpenSSL para TLS, um pacote especialmente criado pode acionar um loop infinito, resultando em uma negação de serviço. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço usando um pacote especialmente criado.
Recomendações
Para as versões 8.5.0 a 8.5.63 do Apache Tomcat, considere desativar o uso de NIO+OpenSSL ou NIO2+OpenSSL para TLS até que um patch esteja disponível.
Para as versões 9.0.0-M1 a 9.0.43 do Apache Tomcat, considere desativar o uso de NIO+OpenSSL ou NIO2+OpenSSL para TLS até que um patch esteja disponível.
Para as versões 10.0.0-M1 a 10.0.2 do Apache Tomcat, considere desativar o uso de NIO+OpenSSL ou NIO2+OpenSSL para TLS até que um patch esteja disponível.
Como solução alternativa temporária, considere restringir o acesso à configuração de TLS para minimizar o risco de exploração.
Exploit
Correção
DoS
Infinite Loop
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Apache Tomcat
Astra Linux
Linuxmint
Suse
Ubuntu