Apache發布了Tomcat h2c協議漏洞風險通告,漏洞編号CVE-2021-25122,漏洞被利用可導緻信息洩漏。
https://tomcat.apache.org/security-10.html
https://tomcat.apache.org/security-9.html
Apache發布了Tomcat h2c協議漏洞風險通告,漏洞編号CVE-2021-25122,漏洞被利用可導緻信息洩漏。
漏洞詳情
據官方描述,當響應新的h2c連接請求時,Apache Tomcat可以将請求标頭和數量有限的請求主體(tǐ)從一(yī)個請求複制到另一(yī)個請求,通過該漏洞,用戶A和用戶B都可以看到用戶A的請求結果。
風險等級
高風險
漏洞風險
漏洞被利用可導緻信息洩漏等危害
影響版本
Apache Tomcat 10.0.0-M1至10.0.0;
Apache Tomcat 9.0.0.M1至9.0.41;
Apache Tomcat 8.5.0至8.5.61;
修複版本
Apache Tomcat 10.0.2或更高版本;
Apache Tomcat 9.0.43或更高版本;
Apache Tomcat 8.5.63或更高版本;
修複建議
官方已發布漏洞修複版本,請評估業務是否受影響後,酌情升級至上述安全版本
【備注】:建議您在安裝補丁前做好數據備份工(gōng)作,避免出現意外(wài)
漏洞參考
官方安全公告:
https://tomcat.apache.org/security-10.html
https://tomcat.apache.org/security-9.html