Apache發(fā)布了Tomcat h2c協(xié)議漏洞風(fēng)險(xiǎn)通告，漏洞編號CVE-2021-25122，漏洞被利用可導(dǎo)致信息泄漏。

漏洞詳情

據(jù)官方描述，當(dāng)響應(yīng)新的h2c連接請求時(shí)，Apache Tomcat可以將請求標(biāo)頭和數(shù)量有限的請求主體從一個(gè)請求復(fù)制到另一個(gè)請求，通過該漏洞，用戶A和用戶B都可以看到用戶A的請求結(jié)果。

風(fēng)險(xiǎn)等級

高風(fēng)險(xiǎn)

漏洞風(fēng)險(xiǎn)

漏洞被利用可導(dǎo)致信息泄漏等危害

影響版本

Apache Tomcat 10.0.0-M1至10.0.0；

Apache Tomcat 9.0.0.M1至9.0.41；

Apache Tomcat 8.5.0至8.5.61；

修復(fù)版本

Apache Tomcat 10.0.2或更高版本；

Apache Tomcat 9.0.43或更高版本；

Apache Tomcat 8.5.63或更高版本；

修復(fù)建議

官方已發(fā)布漏洞修復(fù)版本，請?jiān)u估業(yè)務(wù)是否受影響后，酌情升級至上述安全版本

【備注】：建議您在安裝補(bǔ)丁前做好數(shù)據(jù)備份工作，避免出現(xiàn)意外

漏洞參考

成品人精品区二区四虎免费一区二区欧美在线观看一区欧美成人在线

[漏洞公告] Tomcat h2c協(xié)議漏洞風(fēng)險(xiǎn)通告（CVE-2021-25122）