学习
实践
活动
专区
工具
TVP
写文章

Tomcat H2C请求混合漏洞预警(CVE-2021-25122)

一、概要

近日,云锁关注到Apache Tomcat官方披露在特定的Tomcat版本中存在一处H2C请求混合漏洞(CVE-2021-25122)。当Tomcat响应新的h2c连接请求时,可以将请求标头和数量有限的请求主体从一个请求复制到另一个请求,这意味着用户A和用户B都可以看到用户A的请求结果。

云锁提醒使用Tomcat用户及时安排自检并做好安全加固。

参考链接:

https://lists.apache.org/thread.html/r7b95bc248603360501f18c8eb03bb6001ec0ee3296205b34b07105b7%40%3Cannounce.tomcat.apache.org%3E

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

Apache Tomcat 10.0.0-M1至10.0.0

Apache Tomcat 9.0.0.M1至9.0.41

Apache Tomcat 8.5.0至8.5.61

安全版本:

Apache Tomcat 10.0.2或更高版本

Apache Tomcat 9.0.43或更高版本

Apache Tomcat 8.5.63或更高版本

四、漏洞处置

目前官方已发布版本修复了漏洞,请受影响的用户升级至安全版本。

Apache Tomcat 10.x

Apache Tomcat 9.x

Apache Tomcat 8.x

注:修复漏洞前请将资料备份,并进行充分测试。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20210302A0AUG500?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

关注

腾讯云开发者公众号
10元无门槛代金券
洞察腾讯核心技术
剖析业界实践案例
腾讯云开发者公众号二维码

扫码关注腾讯云开发者

领取腾讯云代金券