近期接网络安全厂商安全通报和Apache Tomcat官方公告,Apache Tomcat存在HTTP/2 cleartext(H2C)请求混合漏洞(CVE-2021-25122),漏洞危害为高危。该漏洞使Apache Tomcat在响应新的h2c连接请求时将请求标头和数量有限的请求主体从一个请求复制到另一个请求,从而出现用户请求结果对其他用户可见状况,对应用程序安全存在明显危害,请使用Apache Tomcat的师生用户及时修补该漏洞,避免被恶意用户利用

该漏洞详情和处置措施如下:

影响范围:

Apache Tomcat 10.0.0-M1至10.0.0

Apache Tomcat 9.0.M.1至9.0.41

Apache Tomcat 8.5.0至8.5.61

漏洞详情:

Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器,按照Sun Microsystems提供的技术规范,实现对Servlet和JavaServer Page(JSP)的支持,并提供作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全局管理和Tomcat阀等。由于Tomcat本身也内含HTTP服务器,因此也可以视作单独的Web服务器。

该漏洞使Apache Tomcat在响应新的h2c连接请求时将请求标头和数量有限的请求主体从一个请求复制到另一个请求,从而出现用户请求结果对其他用户可见状况。

处置措施:

目前Apache Tomcat官方已发布漏洞修复版本,请评估业务是否受影响后,酌情升级至安全版本。建议您在安装补丁前做好数据备份工作,避免出现意外状况。

安全版本:

Apache Tomcat 10.0.2或更高版本;

Apache Tomcat 9.0.43或更高版本;

Apache Tomcat 8.5.63或更高版本;

参考链接:

https://tomcat.apache.org/security-10.html

https://tomcat.apache.org/security-9.html

https://tomcat.apache.org/security-8.html

https://tomcat.apache.org/security-7.html

http://mail-archives.apache.org/mod_mbox/www-announce/202103.mbox/%3Cb7626398-5e6d-1639-4e9e-e41b34af84de@apache.org%3E

http://mail-archives.apache.org/mod_mbox/www-announce/202103.mbox/%3C811bba77-e74e-9f9b-62ca-5253a09ba84f@apache.org%3E

https://github.com/apache/tomcat/commit/dd757c0a893e2e35f8bc1385d6967221ae8b9b9b

相关来源: 腾讯安全维他命安全公众号

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。