PT-2022-11965 · Apache+4 · Apache Tomcat+4
Adam Thomas
+2
·
Publicado
2022-04-01
·
Atualizado
2026-03-26
·
CVE-2021-43980
CVSS v3.1
3.7
Baixa
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Apache Tomcat de 8.5.0 a 8.5.77
Versões do Apache Tomcat 9.0.0-M1 a 9.0.60
Versões do Apache Tomcat 10.0.0-M1 a 10.0.18
Versões do Apache Tomcat 10.1.0 a 10.1.0-M12
Descrição
A implementação simplificada do bloqueio de leituras e gravações, introduzida no Tomcat 10 e retroportada para o Tomcat 9.0.47 em diante, expôs um bug de concorrência de longa data que poderia fazer com que conexões de clientes compartilhassem uma instância
Http11Processor, resultando em respostas, ou partes de respostas, sendo recebidas pelo cliente errado.Recomendações
Para as versões do Apache Tomcat 8.5.0 a 8.5.77, atualize para uma versão fora desse intervalo para resolver o problema.
Para as versões do Apache Tomcat 9.0.0-M1 a 9.0.60, atualize para uma versão fora desse intervalo para resolver o problema.
Para as versões do Apache Tomcat 10.0.0-M1 a 10.0.18, atualize para uma versão fora desse intervalo para resolver o problema.
Para as versões do Apache Tomcat 10.1.0 a 10.1.0-M12, atualize para uma versão fora desse intervalo para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso à instância
Http11Processor para minimizar o risco de exploração.Exploit
Correção
DoS
Information Disclosure
Race Condition
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Apache Tomcat
Astra Linux
Red Os
Suse