Le 14 octobre 2021, Apache a officiellement publié un bulletin de sécurité pour la vulnérabilité de déni de service d'Apache Tomcat. La vulnérabilité a été associée au code CVE-2021-42340, sa gravité est estimée à « importante ».

La vulnérabilité est une fuite de mémoire qui a été introduite en raison de la correction du bug 63362.

Lorsque la connexion WebSocket de Tomcat est fermée, l'objet utilisé pour collecter les indicateurs de connexion de mise à niveau HTTP n'est pas libéré, ce qui provoque une fuite de mémoire, de sorte que l'attaquant peut provoquer un déni de service par le biais de OutOfMemoryError.

Les versions atteintes par cette vulnérabilité sont :

· Apache Tomcat 10.1.0-M1 to 10.1.0-M5

· Apache Tomcat 10.0.0-M10 to 10.0.11

· Apache Tomcat 9.0.40 to 9.0.53

· Apache Tomcat 8.5.60 to 8.5.71

Il est fortement recommandé aux utilisateurs de ces versions de mettre à niveau leur installation Apache Tomcat vers la dernière version disponible afin de se protéger contre le risque des attaques dos.