威胁研究正文

CVE-2021-33037:Apache Tomcat HTTP 请求走私漏洞风险通告

2021-07-13 02:39:09

7月12日,Apache 官方发布安全漏洞通告,公布了Tomcat 10.0.0-M1 到 10.0.6、9.0.0.M1 到 9.0.46 和 8.5.0 到 8.5.66 在某些情况下没有正确解析 HTTP 传输编码请求标头,与反向代理一起使用时,可能导致请求走私。

7月12日,Apache 官方发布安全漏洞通告,公布了Tomcat 10.0.0-M1 到 10.0.6、9.0.0.M1 到 9.0.46 和 8.5.0 到 8.5.66 在某些情况下没有正确解析 HTTP 传输编码请求标头,与反向代理一起使用时,可能导致请求走私。


漏洞编号:CVE-2021-33037


漏洞等级:重要


漏洞详情:

Apache Tomcat 没有正确解析 HTTP 传输编码请求,在某些情况下与反向代理一起使用时导致请求走私。


如果客户端声明它只接受 HTTP/1.0 响应,Tomcat 会错误地忽略传输编码标头。


Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全局管理和Tomcat阀等。由于Tomcat本身也内含了HTTP服务器,因此也可以视作单独的Web服务器。


受影响的版本:

Apache Tomcat 10.0.0-M1 - 10.0.6

Apache Tomcat 9.0.0.M1 - 9.0.46

Apache Tomcat 8.5.0 - 8.5.66


安全版本:

Apache Tomcat 10.0.7 或更高版本

Apache Tomcat 9.0.48 或更高版本

Apache Tomcat 8.5.68 或更高版本


漏洞修复:

腾讯安全专家建议受影响的用户升级Apache Tomcat到安全版本。


参考资料:

https://nvd.nist.gov/vuln/detail/CVE-2021-33037


扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。


在线咨询