安全通告-Apache Tomcat HTTP/2请求标头混淆漏洞安全风险
发布时间:2020-12-09
阅读次数:2911
漏洞描述
Tomcat官方发布安全公告,Apache Tomcat 10.0.0-M1~10.0.0-M9、9.0.0-M1~9.0.39和8.5.0~8.5.59这些版本存在漏洞。该漏洞会导致在一个HTTP/2的连接过程中,相连的后续请求中,可重新使用来自上一个HTTP请求头中的值。这可能会导致错误并关闭HTTP/2连接,会在请求之间造成信息泄漏。
漏洞编号
CVE-2020-17527
漏洞危害
该漏洞会导致在一个HTTP/2的连接过程中,相连的后续请求中,可重新使用来自上一个HTTP请求头中的值。这可能会导致错误并关闭HTTP/2连接,会在请求之间造成信息泄漏。如果当前版本在受影响范围内,则存在安全风险。
漏洞等级
中危
受影响版本
Apache Tomcat 10.0.0-M1~10.0.0-M9、9.0.0-M1~9.0.39和8.5.0~8.5.59
修复方案
目前官方已发布新版本修复了此漏洞,请受影响的用户尽快升级至对应的新版本进行防护:
ü 升级到Apache Tomcat 10.0.0-M10或更高版本
ü 升级到Apache Tomcat 9.0.40或更高版本
ü 升级到Apache Tomcat 8.5.60或更高版本
参考链接
1. http://tomcat.apache.org/security-10.html
2. http://tomcat.apache.org/security-9.html
3. http://tomcat.apache.org/security-8.html
/
网络安全