1、组件介绍

Tomcat是Apache 软件基金会（Apache Software Foundation）的Jakarta 项目中的一个核心项目，由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持，最新的Servlet 和JSP 规范总是能在Tomcat 中得到体现，Tomcat 5支持最新的Servlet 2.4 和JSP 2.0 规范。Tomcat 服务器是一个免费的开放源代码的Web 应用服务器，属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP 程序的首选。

2、漏洞描述

2021年10月15日，深信服安全团队监测到一则Apache Tomcat组件存在拒绝服务漏洞的信息，漏洞编号：CVE-2021-42340，漏洞威胁等级：高危。

该漏洞是由于对用户的输入没有进行严格的过滤导致，攻击者可以构造恶意数据进行内存泄漏攻击，通过OutOfMemoryError最终造成服务器拒绝服务。

全球有数百万 Web服务器采用 Apache Tomcat，可能受漏洞影响的资产广泛分布于世界各地，国内省份中受影响资产分布于浙江、广东、山东等省市。

目前受影响的Apache Tomcat版本：

10.1.0-M1 ≤ Apache Tomcat ≤ 10.1.0-M5

10.0.0-M10 ≤ Apache Tomcat ≤ 10.0.11

9.0.40 ≤ Apache Tomcat ≤ 9.0.53

8.5.60 ≤ Apache Tomcat ≤ 8.5.71

1、如何系统版本

Windows系统：在tomcat的bin目录下，输入catalina version命令即可显示版本信息