Apache HTTP Server(簡稱Apache)是Apache軟體基金會的一個開放源碼的網頁(Web)伺服器,可以在大多數計算機作業系統中運行,由於其多平臺和安全性被廣泛使用,是最流行的Web伺服器端軟體之一.Tomcat是由Apache軟體基金會下屬的Jakarta項目開發的一個Servlet容器,它是一個小型的輕量級應用伺服器,在中小型系統和並發訪問用戶不是很多的場合下被普遍使用。
12月3日,Apache Tomcat安全團隊發布了安全更新,修復了Tomcat中信息洩露等重要漏洞。以下是漏洞詳情:
漏洞詳情
來源:https://lists.apache.org/thread.html/rce5ac9a40173651d540babce59f6f3825f12c6d4e886ba00823b11e5%40%3Cannounce.tomcat.apache.org%3E
CVE-2020-17527 嚴重程度:中等
Apache Tomcat可以將HTTP/2連接上收到的先前流中的HTTP請求標頭值重新用於與後續流相關聯的請求。這很可能會導致錯誤並關閉HTTP/2連接,出現拒絕服務,也可能會在請求之間導致重要信息洩露。
受影響產品和版本
Apache Tomcat 10.0.0-M1至10.0.0-M9
Apache Tomcat 9.0.0.M5至9.0.39
Apache Tomcat 8.5.1至8.5.59
解決方案
升級到Apache Tomcat 10.0.0-M10或更高版本
升級到Apache Tomcat 9.0.40或更高版本
升級到Apache Tomcat 8.5.60或更高版本
查看更多漏洞信息 以及升級請訪問官網:
http://tomcat.apache.org/security.html