Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源码的网页(Web)服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一.Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,它是一个小型的轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用。
12月3日,Apache Tomcat安全团队发布了安全更新,修复了Tomcat中信息泄露等重要漏洞。以下是漏洞详情:
漏洞详情
来源:https://lists.apache.org/thread.html/rce5ac9a40173651d540babce59f6f3825f12c6d4e886ba00823b11e5%40%3Cannounce.tomcat.apache.org%3E
CVE-2020-17527 严重程度:中等
Apache Tomcat可以将HTTP/2连接上收到的先前流中的HTTP请求标头值重新用于与后续流相关联的请求。这很可能会导致错误并关闭HTTP/2连接,出现拒绝服务,也可能会在请求之间导致重要信息泄露。
受影响产品和版本
Apache Tomcat 10.0.0-M1至10.0.0-M9
Apache Tomcat 9.0.0.M5至9.0.39
Apache Tomcat 8.5.1至8.5.59
解决方案
升级到Apache Tomcat 10.0.0-M10或更高版本
升级到Apache Tomcat 9.0.40或更高版本
升级到Apache Tomcat 8.5.60或更高版本
查看更多漏洞信息 以及升级请访问官网:
http://tomcat.apache.org/security.html