Apache Tomcat h2c请求混合漏洞(CVE-2021-25122)

发布时间 2021-03-02

0x00 漏洞概述

CVE  ID

CVE-2021-25122

时   间

2021-03-02

类   型


等   级

高危

远程利用

影响范围


 

0x01 漏洞详情

image.png

2021年03月01日,Apache官方发布安全公告,修复了Tomcat中的一个 h2c请求混合漏洞(CVE-2021-25122)。

当响应新的h2c连接请求时,Apache Tomcat可以将请求标头和数量有限的请求主体从一个请求复制到另一个请求,这将导致用户A和用户B都可以看到用户A的请求结果。目前该漏洞已经修复,代码如下:

image.png

 

影响范围

Apache Tomcat 10.0.0-M1-10.0.0

Apache Tomcat 9.0.0.M1-9.0.41

Apache Tomcat 8.5.0-8.5.61

 

此外,由于Apache Tomcat对CVE-2020-9484的修复不完整,导致Tomcat仍然容易受到针对CVE-2020-9484的攻击(漏洞追踪为CVE-2021-25329,低危)。该漏洞将影响Apache Tomcat版本10.0.0-M1-10.0.0、9.0.0.M1-9.0.41、8.5.0-8.5.61、7.0.0-7.0.107,CVE-2020-9484的利用条件及缓解措施同样适用于此漏洞。

 

0x02 处置建议

针对CVE-2021-25122,建议升级至以下版本:

Apache Tomcat 10.0.2或更高版本。

Apache Tomcat 9.0.43或更高版本。

Apache Tomcat 8.5.63或更高版本。

 

针对CVE-2021-25329,建议升级至以下版本:

Apache Tomcat 10.0.2或更高版本。

Apache Tomcat 9.0.43或更高版本。

Apache Tomcat 8.5.63或更高版本。

Apache Tomcat 7.0.108或更高版本。

 

下载链接:

https://tomcat.apache.org/download-10.cgi

 

0x03 参考链接

https://tomcat.apache.org/security-10.html

http://mail-archives.apache.org/mod_mbox/www-announce/202103.mbox/%3Cb7626398-5e6d-1639-4e9e-e41b34af84de@apache.org%3E

http://mail-archives.apache.org/mod_mbox/www-announce/202103.mbox/%3C811bba77-e74e-9f9b-62ca-5253a09ba84f@apache.org%3E

https://github.com/apache/tomcat/commit/dd757c0a893e2e35f8bc1385d6967221ae8b9b9b#

 

0x04 时间线

2021-03-01  Apache发布安全公告

2021-03-02  VSRC发布安全通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/

image.png