关于Apache Tomcat HTTP/2 cleartext(H2C)请求混合漏洞(CVE-2021-25122)的安全预警

发布者:戚腾飞发布时间:2021-03-02浏览次数:314

近期接网络安全厂商安全通报和Apache Tomcat官方公告,Apache Tomcat存在HTTP/2 cleartext(H2C)请求混合漏洞(CVE-2021-25122),漏洞危害为高危。该漏洞使Apache Tomcat在响应新的h2c连接请求时将请求标头和数量有限的请求主体从一个请求复制到另一个请求,从而出现用户请求结果对其他用户可见状况,对应用程序安全存在明显危害,请使用Apache Tomcat的师生用户及时修补该漏洞,避免被恶意用户利用

该漏洞详情和处置措施如下:

影响范围:

Apache Tomcat 10.0.0-M1至10.0.0

Apache Tomcat 9.0.M.1至9.0.41

Apache Tomcat 8.5.0至8.5.61

漏洞详情:

Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器,按照Sun Microsystems提供的技术规范,实现对Servlet和JavaServer Page(JSP)的支持,并提供作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全局管理和Tomcat阀等。由于Tomcat本身也内含HTTP服务器,因此也可以视作单独的Web服务器。

该漏洞使Apache Tomcat在响应新的h2c连接请求时将请求标头和数量有限的请求主体从一个请求复制到另一个请求,从而出现用户请求结果对其他用户可见状况。

处置措施:

目前Apache Tomcat官方已发布漏洞修复版本,请评估业务是否受影响后,酌情升级至安全版本。建议您在安装补丁前做好数据备份工作,避免出现意外状况。

安全版本:

Apache Tomcat 10.0.2或更高版本;

Apache Tomcat 9.0.43或更高版本;

Apache Tomcat 8.5.63或更高版本;

参考链接:

https://tomcat.apache.org/security-10.html

https://tomcat.apache.org/security-9.html

https://tomcat.apache.org/security-8.html

https://tomcat.apache.org/security-7.html

http://mail-archives.apache.org/mod_mbox/www-announce/202103.mbox/%3Cb7626398-5e6d-1639-4e9e-e41b34af84de@apache.org%3E

http://mail-archives.apache.org/mod_mbox/www-announce/202103.mbox/%3C811bba77-e74e-9f9b-62ca-5253a09ba84f@apache.org%3E

https://github.com/apache/tomcat/commit/dd757c0a893e2e35f8bc1385d6967221ae8b9b9b#


相关来源: 腾讯安全维他命安全公众号