Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源码的网页(Web)服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一.Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,它是一个小型的轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用。
3月1日,Apache Tomcat安全团队发布了安全更新,修复了Tomcat中信息泄露等漏洞。以下是漏洞详情:
漏洞详情
来源:https://www.mail-archive.com/users@tomcat.apache.org/msg137185.html
CVE-2021-25122 严重程度:重要
当响应新的h2c连接请求时,Apache Tomcat可以将请求标头和数量有限的请求主体从一个请求复制到另一个请求,这意味着用户A和用户B都可以看到用户A的请求结果,从而造成信息泄露。
受影响产品和版本
Apache Tomcat 10.0.0-M1至10.0.0
Apache Tomcat 9.0.0.M1至9.0.41
Apache Tomcat 8.5.0至8.5.61
解决方案
受影响版本的用户应应用以下其中一项
升级到Apache Tomcat 10.0.2或更高版本
升级到Apache Tomcat 9.0.43或更高版本
升级到Apache Tomcat 8.5.63或更高版本
查看更多漏洞信息 以及升级请访问官网:
http://tomcat.apache.org/security.html
