Tomcat H2C请求混合漏洞预警（CVE-2021-25122）

一、概要

近日，云锁关注到Apache Tomcat官方披露在特定的Tomcat版本中存在一处H2C请求混合漏洞(CVE-2021-25122)。当Tomcat响应新的h2c连接请求时，可以将请求标头和数量有限的请求主体从一个请求复制到另一个请求，这意味着用户A和用户B都可以看到用户A的请求结果。

云锁提醒使用Tomcat用户及时安排自检并做好安全加固。

参考链接：

https://lists.apache.org/thread.html/r7b95bc248603360501f18c8eb03bb6001ec0ee3296205b34b07105b7%40%3Cannounce.tomcat.apache.org%3E

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Apache Tomcat 10.0.0-M1至10.0.0

Apache Tomcat 9.0.0.M1至9.0.41

Apache Tomcat 8.5.0至8.5.61

安全版本：

Apache Tomcat 10.0.2或更高版本

Apache Tomcat 9.0.43或更高版本

Apache Tomcat 8.5.63或更高版本

四、漏洞处置

目前官方已发布版本修复了漏洞，请受影响的用户升级至安全版本。

Apache Tomcat 10.x

Apache Tomcat 9.x

Apache Tomcat 8.x

注：修复漏洞前请将资料备份，并进行充分测试。