• 關于Apache Tomcat HTTP/2 cleartext(H2C)請求混合漏洞(CVE-2021-25122)的安全預警

    發布者:戚騰飛發布時間:2021-03-02瀏覽次數:314

    近期接網絡安全廠商安全通報和Apache Tomcat官方公告,Apache Tomcat存在HTTP/2 cleartext(H2C)請求混合漏洞(CVE-2021-25122),漏洞危害為高危。該漏洞使Apache Tomcat在響應新的h2c連接請求時將請求標頭和數量有限的請求主體從一個請求復制到另一個請求,從而出現用戶請求結果對其他用戶可見狀況,對應用程序安全存在明顯危害,請使用Apache Tomcat的師生用戶及時修補該漏洞,避免被惡意用戶利用。

    該漏洞詳情和處置措施如下:

    影響范圍:

    Apache Tomcat 10.0.0-M1至10.0.0

    Apache Tomcat 9.0.M.1至9.0.41

    Apache Tomcat 8.5.0至8.5.61

    漏洞詳情:

    Tomcat是由Apache軟件基金會屬下Jakarta項目開發的Servlet容器,按照Sun Microsystems提供的技術規范,實現對Servlet和JavaServer Page(JSP)的支持,并提供作為Web服務器的一些特有功能,如Tomcat管理和控制平臺、安全局管理和Tomcat閥等。由于Tomcat本身也內含HTTP服務器,因此也可以視作單獨的Web服務器。

    該漏洞使Apache Tomcat在響應新的h2c連接請求時將請求標頭和數量有限的請求主體從一個請求復制到另一個請求,從而出現用戶請求結果對其他用戶可見狀況。

    處置措施:

    目前Apache Tomcat官方已發布漏洞修復版本,請評估業務是否受影響后,酌情升級至安全版本。建議您在安裝補丁前做好數據備份工作,避免出現意外狀況。

    安全版本:

    Apache Tomcat 10.0.2或更高版本;

    Apache Tomcat 9.0.43或更高版本;

    Apache Tomcat 8.5.63或更高版本;

    參考鏈接:

    https://tomcat.apache.org/security-10.html

    https://tomcat.apache.org/security-9.html

    https://tomcat.apache.org/security-8.html

    https://tomcat.apache.org/security-7.html

    http://mail-archives.apache.org/mod_mbox/www-announce/202103.mbox/%3Cb7626398-5e6d-1639-4e9e-e41b34af84de@apache.org%3E

    http://mail-archives.apache.org/mod_mbox/www-announce/202103.mbox/%3C811bba77-e74e-9f9b-62ca-5253a09ba84f@apache.org%3E

    https://github.com/apache/tomcat/commit/dd757c0a893e2e35f8bc1385d6967221ae8b9b9b#


    相關來源: 騰訊安全、維他命安全公眾號

    成年片黄色电影大全 - 视频 - 在线观看 - 影视资讯 - 观赏网