一、背景介绍
近日,市委网信办技术支撑单位监测到Apache Tomcat官方邮件列表通告修复了一个信息泄漏漏洞(CVE-2021-24122)。
1.1漏洞描述
Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。当Tomcat部署在Windows系统的场景中,Tomcat使用NTFS文件系统从网络位置提供资源时,存在未授权查看JSP源代码的漏洞,导致信息泄露效果,恶意攻击者可以利用该漏洞获得目标系统敏感信息后进一步实施攻击。
1.2漏洞编号
CVE-2021-24122
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
Apache Tomcat 10.0.0-M1至10.0.0-M9
Apache Tomcat 9.0.0.0.M1至9.0.39
Apache Tomcat 8.5.0至8.5.59
Apache Tomcat 7.0.0至7.0.106
2.2 修复建议
目前漏洞细节和利用代码暂未公开,但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码,建议部署了存在漏洞版本的用户及时更新到漏洞修复的版本。
https://tomcat.apache.org/download-70.cgi
https://tomcat.apache.org/download-80.cgi
https://tomcat.apache.org/download-90.cgi
https://tomcat.apache.org/download-10.cgi
或Github下载:
https://github.com/apache/tomcat/releases