Apache Tomcat h2c请求混合漏洞(CVE-2021-25122)
发布时间 2021-03-020x00 漏洞概述
CVE ID | CVE-2021-25122 | 时 间 | 2021-03-02 |
类 型 | 等 级 | 高危 | |
远程利用 | 是 | 影响范围 |
0x01 漏洞详情
2021年03月01日,Apache官方发布安全公告,修复了Tomcat中的一个 h2c请求混合漏洞(CVE-2021-25122)。
当响应新的h2c连接请求时,Apache Tomcat可以将请求标头和数量有限的请求主体从一个请求复制到另一个请求,这将导致用户A和用户B都可以看到用户A的请求结果。目前该漏洞已经修复,代码如下:
影响范围
Apache Tomcat 10.0.0-M1-10.0.0
Apache Tomcat 9.0.0.M1-9.0.41
Apache Tomcat 8.5.0-8.5.61
此外,由于Apache Tomcat对CVE-2020-9484的修复不完整,导致Tomcat仍然容易受到针对CVE-2020-9484的攻击(漏洞追踪为CVE-2021-25329,低危)。该漏洞将影响Apache Tomcat版本10.0.0-M1-10.0.0、9.0.0.M1-9.0.41、8.5.0-8.5.61、7.0.0-7.0.107,CVE-2020-9484的利用条件及缓解措施同样适用于此漏洞。
0x02 处置建议
针对CVE-2021-25122,建议升级至以下版本:
Apache Tomcat 10.0.2或更高版本。
Apache Tomcat 9.0.43或更高版本。
Apache Tomcat 8.5.63或更高版本。
针对CVE-2021-25329,建议升级至以下版本:
Apache Tomcat 10.0.2或更高版本。
Apache Tomcat 9.0.43或更高版本。
Apache Tomcat 8.5.63或更高版本。
Apache Tomcat 7.0.108或更高版本。
下载链接:
https://tomcat.apache.org/download-10.cgi
0x03 参考链接
https://tomcat.apache.org/security-10.html
http://mail-archives.apache.org/mod_mbox/www-announce/202103.mbox/%3Cb7626398-5e6d-1639-4e9e-e41b34af84de@apache.org%3E
http://mail-archives.apache.org/mod_mbox/www-announce/202103.mbox/%3C811bba77-e74e-9f9b-62ca-5253a09ba84f@apache.org%3E
https://github.com/apache/tomcat/commit/dd757c0a893e2e35f8bc1385d6967221ae8b9b9b#
0x04 时间线
2021-03-01 Apache发布安全公告
2021-03-02 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/