一、概要

近日，華為云關(guān)注到Apache Tomcat官方披露在特定的Tomcat版本中存在一處H2C請求混合漏洞(CVE-2021-25122)。當(dāng)Tomcat響應(yīng)新的h2c連接請求時，可以將請求標(biāo)頭和數(shù)量有限的請求主體從一個請求復(fù)制到另一個請求，這意味著用戶A和用戶B都可以看到用戶A的請求結(jié)果。

華為云提醒使用Tomcat用戶及時安排自檢并做好安全加固。

參考鏈接：

https://lists.apache.org/thread.html/r7b95bc248603360501f18c8eb03bb6001ec0ee3296205b34b07105b7%40%3Cannounce.tomcat.apache.org%3E

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

Apache Tomcat 10.0.0-M1至10.0.0

Apache Tomcat 9.0.0.M1至9.0.41

Apache Tomcat 8.5.0至8.5.61

安全版本：

Apache Tomcat 10.0.2或更高版本

Apache Tomcat 9.0.43或更高版本

Apache Tomcat 8.5.63或更高版本

四、漏洞處置

目前官方已發(fā)布版本修復(fù)了漏洞，請受影響的用戶升級至安全版本。

Apache Tomcat 10.x

Apache Tomcat 9.x

Apache Tomcat 8.x

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。