首頁 > 安全研究 > 安全通報 > 安全通告

Apache Tomcat h2c請求混合漏洞(CVE-2021-25122)

發布時間 2021-03-02

0x00 漏洞概述

CVE  ID

CVE-2021-25122

時   間

2021-03-02

類   型


等   級

高危

遠程利用

影響范圍


 

0x01 漏洞詳情

image.png

2021年03月01日,Apache官方發布安全公告,修復了Tomcat中的一個 h2c請求混合漏洞(CVE-2021-25122)。

當響應新的h2c連接請求時,Apache Tomcat可以將請求標頭和數量有限的請求主體從一個請求復制到另一個請求,這將導致用戶A和用戶B都可以看到用戶A的請求結果。目前該漏洞已經修復,代碼如下:

image.png

 

影響范圍

Apache Tomcat 10.0.0-M1-10.0.0

Apache Tomcat 9.0.0.M1-9.0.41

Apache Tomcat 8.5.0-8.5.61

 

此外,由于Apache Tomcat對CVE-2020-9484的修復不完整,導致Tomcat仍然容易受到針對CVE-2020-9484的攻擊(漏洞追蹤為CVE-2021-25329,低危)。該漏洞將影響Apache Tomcat版本10.0.0-M1-10.0.0、9.0.0.M1-9.0.41、8.5.0-8.5.61、7.0.0-7.0.107,CVE-2020-9484的利用條件及緩解措施同樣適用于此漏洞。

 

0x02 處置建議

針對CVE-2021-25122,建議升級至以下版本:

Apache Tomcat 10.0.2或更高版本。

Apache Tomcat 9.0.43或更高版本。

Apache Tomcat 8.5.63或更高版本。

 

針對CVE-2021-25329,建議升級至以下版本:

Apache Tomcat 10.0.2或更高版本。

Apache Tomcat 9.0.43或更高版本。

Apache Tomcat 8.5.63或更高版本。

Apache Tomcat 7.0.108或更高版本。

 

下載鏈接:

https://tomcat.apache.org/download-10.cgi

 

0x03 參考鏈接

https://tomcat.apache.org/security-10.html

http://mail-archives.apache.org/mod_mbox/www-announce/202103.mbox/%3Cb7626398-5e6d-1639-4e9e-e41b34af84de@apache.org%3E

http://mail-archives.apache.org/mod_mbox/www-announce/202103.mbox/%3C811bba77-e74e-9f9b-62ca-5253a09ba84f@apache.org%3E

https://github.com/apache/tomcat/commit/dd757c0a893e2e35f8bc1385d6967221ae8b9b9b#

 

0x04 時間線

2021-03-01  Apache發布安全公告

2021-03-02  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

 

上一篇 下一篇