Apache Tomcat h2c请求混淆误差(CVE-2021-25122)

宣布时间 2021-03-02

0x00 误差概述

CVE  ID

CVE-2021-25122

时   间

2021-03-02

类   型


等   级

高危

远程使用

影响规模


 

0x01 误差详情

image.png

2021年03月01日,Apache官方宣布清静通告,修复了Tomcat中的一个 h2c请求混淆误差(CVE-2021-25122)。

当响应新的h2c毗连请求时,Apache Tomcat可以将请求标头和数目有限的请求主体从一个请求复制到另一个请求,这将导致用户A和用户B都可以看到用户A的请求效果。现在该误差已经修复,代码如下:

image.png

 

影响规模

Apache Tomcat 10.0.0-M1-10.0.0

Apache Tomcat 9.0.0.M1-9.0.41

Apache Tomcat 8.5.0-8.5.61

 

别的,由于Apache Tomcat对CVE-2020-9484的修复不完整,导致Tomcat仍然容易受到针对CVE-2020-9484的攻击(误差追踪为CVE-2021-25329,低危)。该误差将影响Apache Tomcat版本10.0.0-M1-10.0.0、9.0.0.M1-9.0.41、8.5.0-8.5.61、7.0.0-7.0.107,CVE-2020-9484的使用条件及缓解步伐同样适用于此误差。

 

0x02 处置惩罚建议

针对CVE-2021-25122,建议升级至以下版本:

Apache Tomcat 10.0.2或更高版本。

Apache Tomcat 9.0.43或更高版本。

Apache Tomcat 8.5.63或更高版本。

 

针对CVE-2021-25329,建议升级至以下版本:

Apache Tomcat 10.0.2或更高版本。

Apache Tomcat 9.0.43或更高版本。

Apache Tomcat 8.5.63或更高版本。

Apache Tomcat 7.0.108或更高版本。

 

下载链接:

https://tomcat.apache.org/download-10.cgi

 

0x03 参考链接

https://tomcat.apache.org/security-10.html

http://mail-archives.apache.org/mod_mbox/www-announce/202103.mbox/%3Cb7626398-5e6d-1639-4e9e-e41b34af84de@apache.org%3E

http://mail-archives.apache.org/mod_mbox/www-announce/202103.mbox/%3C811bba77-e74e-9f9b-62ca-5253a09ba84f@apache.org%3E

https://github.com/apache/tomcat/commit/dd757c0a893e2e35f8bc1385d6967221ae8b9b9b#

 

0x04 时间线

2021-03-01  Apache宣布清静通告

2021-03-02  VSRC宣布清静通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/

image.png