Apache Tomcat高危安全漏洞风险预警

1. 漏洞公告

近日,监测到Apache Tomcat官方邮件列表通告修复了一个信息泄漏漏洞,对应CVE编号:CVE-2021-24122,漏洞公告:http://mail-archives.apache.org/mod_mbox/www-announce/202101.mbox/%3cf3765f21-969d-7f21-e34a-efc106175373@apache.org%3e。

根据公告,当Tomcat使用NTFS文件系统从网络位置提供资源时,存在未授权查看JSP源代码的漏洞,导致信息泄露效果,建议及时更新到漏洞修复的版本。

 

Apache Tomcat历史安全公告请参考:

Apache Tomcat 10.x版本

http://tomcat.apache.org/security-10.html

Apache Tomcat 9.x版本

http://tomcat.apache.org/security-9.html

Apache Tomcat 8.5.x版本

http://tomcat.apache.org/security-8.html

Apache Tomcat 7.x版本

http://tomcat.apache.org/security-7.html

2. 影响范围

CVE-2021-24122信息泄露漏洞主要影响以下Tomcat版本:

Apache Tomcat10.0.0-M1至10.0.0-M9,建议更新到10.0.0-M10以上版本

Apache Tomcat9.0.0.0.M1至9.0.39,建议更新到 9.0.40以上版本

Apache Tomcat8.5.0至8.5.59,建议更新到8.5.60以上版本

Apache Tomcat7.0.0至7.0.106,建议更新到7.0.107以上版本

官方下载地址:

https://tomcat.apache.org/download-70.cgi

https://tomcat.apache.org/download-80.cgi

https://tomcat.apache.org/download-90.cgi

https://tomcat.apache.org/download-10.cgi

或Github下载:

https://github.com/apache/tomcat/releases

 

对国内外暴露在互联网上Apache Tomcat的服务器进行统计,最新查询分布情况如下:

国内分布:

3. 漏洞描述

CVE-2021-24122信息泄露漏洞,根据分析,当Tomcat部署在Windows系统的场景中,Tomcat使用NTFS文件系统从网络位置提供资源时,存在未授权查看JSP源代码的漏洞,导致信息泄露效果,恶意攻击者可以利用该漏洞获得目标系统敏感信息后进一步实施攻击,建议及时更新到漏洞修复的版本。

4. 缓解措施

:目前漏洞细节和利用代码暂未公开,但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码,建议部署了存在漏洞版本的用户及时更新到漏洞修复的版本。

郑重声明:本网站发布的内容(图片、视频和文字)以及用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服

发表评论

登录后才能评论