【漏洞通告】Apache Tomcat HTTP 2请求标头混淆漏洞安全风险通告(CVE-2020-17527)

Apache Tomcat HTTP/2请求标头混淆安全风险通告

发布日期:2020-12-8

 

漏洞描述

Tomcat官方发布安全公告,Apache Tomcat 10.0.0-M1~10.0.0-M9、9.0.0-M1~9.0.39和8.5.0~8.5.59这些版本存在漏洞。该漏洞会导致在一个HTTP/2的连接过程中,相连的后续请求中,可重新使用来自上一个HTTP请求头中的值。这可能会导致错误并关闭HTTP/2连接,会在请求之间造成信息泄漏。

漏洞编号

CVE-2020-17527

漏洞危害

该漏洞会导致在一个HTTP/2的连接过程中,相连的后续请求中,可重新使用来自上一个HTTP请求头中的值。这可能会导致错误并关闭HTTP/2连接,会在请求之间造成信息泄漏。如果当前版本在受影响范围内,则存在安全风险。

漏洞等级

中危
受影响版本

Apache Tomcat 10.0.0-M1~10.0.0-M9、9.0.0-M1~9.0.39和8.5.0~8.5.59

修复方案

目前官方已发布新版本修复了此漏洞,请受影响的用户尽快升级至对应的新版本进行防护:

  • 升级到Apache Tomcat 10.0.0-M10或更高版本
  • 升级到Apache Tomcat 9.0.40或更高版本
  • 升级到Apache Tomcat 8.5.60或更高版本

参考链接

  1. http://tomcat.apache.org/security-10.html
  2. http://tomcat.apache.org/security-9.html
  3. http://tomcat.apache.org/security-8.html