扫码查看公告

【安全通告】Tomcat信息泄漏漏洞风险通告（CVE-2021-24122）

尊敬的腾讯云用户，您好！

近日，腾讯云安全运营中心监测到， Apache发布了Tomcat信息泄露漏洞风险通告，漏洞编号 CVE-2021-24122，漏洞被利用可导致文件读取或信息泄漏。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

据官方描述，该漏洞由于Windows API（FindFirstFileW）与JRE API File.getCanonicalPath的一些意外行为所导致。当使用NTFS文件系统时，可以绕过一些安全限制，最终可导致如查看某些配置中JSP的源代码等危害。

风险等级

高风险

漏洞风险

漏洞被利用可导致源码泄漏等危害

影响版本

Apache Tomcat 10.0.0-M1至10.0.0-M9；

Apache Tomcat 9.0.0.M1至9.0.39；

Apache Tomcat 8.5.0至8.5.59；

Apache Tomcat 7.0.0至7.0.106；

修复版本

升级到Apache Tomcat 10.0.0-M10或更高版本；

升级到Apache Tomcat 9.0.40或更高版本；

升级到Apache Tomcat 8.5.60或更高版本；

升级到Apache Tomcat 7.0.107或更高版本；

修复建议

官方已发布漏洞修复版本，请评估业务是否受影响后，尽快升级至上述安全版本

【备注】：建议您在安装补丁前做好数据备份工作，避免出现意外

漏洞参考

官方安全公告：

2021-01-15