Apache Tomcat HTTP/2 cleartext (H2C) 请求混合漏洞(CVE-2021-25122)风险通告

2021-03-01 22:34:55
Apache Tomcat 官方于3月1日发布一个安全漏洞公告(CVE-2021-25122),漏洞风险等级为“重要”。Apache Tomcat 在响应新的h2c连接请求时,可以将请求标头和数量有限的请求主体从一个请求复制到另一个请求,这意味着用户A和用户B都可以看到用户A的请求结果。

漏洞描述:

Apache Tomcat 官方于3月1日发布一个安全漏洞公告,Apache Tomcat 在响应新的h2c连接请求时,可以将请求标头和数量有限的请求主体从一个请求复制到另一个请求,这意味着用户A和用户B都可以看到用户A的请求结果。


Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全局管理和Tomcat阀等。由于Tomcat本身也内含了HTTP服务器,因此也可以视作单独的Web服务器。

 

漏洞等级:重要

 

漏洞编号:CVE-2021-25122

 

受影响的版本:

Apache Tomcat 10.0.0-M1至10.0.0

Apache Tomcat 9.0.M.1至9.0.41

Apache Tomcat 8.5.0至8.5.61

 

安全版本:

Apache Tomcat 10.0.2或更高版本

Apache Tomcat 9.0.43或更高版本

Apache Tomcat 9.0.43或更高版本

 

漏洞缓解措施:

腾讯安全专家建议受影响版本的用户升级Apache Tomcat到安全版本。

 

参考链接:

https://nvd.nist.gov/vuln/detail/CVE-2021-25122

https://lists.apache.org/thread.html/r7b95bc248603360501f18c8eb03bb6001ec0ee3296205b34b07105b7@%3Cannounce.apache.org%3E


时间线:

2021年3月1日,Apache官方发布漏洞通告邮件;

2021年3月1日,腾讯安全发布漏洞风险通告。


扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。


最新资讯