Apache发布了Tomcat h2c协议漏洞风险通告,漏洞编号CVE-2021-25122,漏洞被利用可导致信息泄漏。
漏洞详情
据官方描述,当响应新的h2c连接请求时,Apache Tomcat可以将请求标头和数量有限的请求主体从一个请求复制到另一个请求,通过该漏洞,用户A和用户B都可以看到用户A的请求结果。
风险等级
高风险
漏洞风险
漏洞被利用可导致信息泄漏等危害
影响版本
Apache Tomcat 10.0.0-M1至10.0.0;
Apache Tomcat 9.0.0.M1至9.0.41;
Apache Tomcat 8.5.0至8.5.61;
修复版本
Apache Tomcat 10.0.2或更高版本;
Apache Tomcat 9.0.43或更高版本;
Apache Tomcat 8.5.63或更高版本;
修复建议
官方已发布漏洞修复版本,请评估业务是否受影响后,酌情升级至上述安全版本
【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外
漏洞参考
官方安全公告:
https://tomcat.apache.org/security-10.html
https://tomcat.apache.org/security-9.html
