中危 Apache Tomcat 信息泄露漏洞

CVE编号

CVE-2020-17527

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2020-12-04
漏洞描述
Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。 Apache Tomcat 存在安全漏洞,该漏洞源于可以重用HTTP 2连接上接收到的前一个流的HTTP请求头值,用于与后续流相关联的请求。虽然这很可能会导致错误和HTTP 2连接的关闭,但信息可能会在请求之间泄漏。

以下产品及版本受到影响:
10.0.0-M1 to 10.0.0-M9,
9.0.0-M1 to 9.0.39,
8.5.0 to 8.5.59。

解决建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://lists.apache.org/thread.html/rce5ac9a40173651d540babce59f6f3825f12c6d4e886ba00823b11e5%40%3Cannounce.tomcat.apache.org%3E
参考链接
http://www.openwall.com/lists/oss-security/2020/12/03/3
https://lists.apache.org/thread.html/r26a2a66339087fc37db3caf201e446d3e83b5cc...
https://lists.apache.org/thread.html/r2d6e05c5ff96f8068a59dfdb3800e9ee8d4e36c...
https://lists.apache.org/thread.html/r5a285242737ddef4d338236328aaaf3237183e1...
https://lists.apache.org/thread.html/r8a227ac6a755a6406c1cc47dd48800e973d4cf1...
https://lists.apache.org/thread.html/r9fd47f1b03e9b41d16a5cf72659b533887267d3...
https://lists.apache.org/thread.html/ra35c8d617b17d59f400112cebadec43ad379f98...
https://lists.apache.org/thread.html/ra9fcdb904dd2e2256ef90b3e4ced279cd464cb0...
https://lists.apache.org/thread.html/ra9fcdb904dd2e2256ef90b3e4ced279cd464cb0...
https://lists.apache.org/thread.html/raa0e9ad388c1e6fd1e301b5e080f9439f64cb41...
https://lists.apache.org/thread.html/rabbe6b3ae6a9795641d7a05c00d2378d5bbbe42...
https://lists.apache.org/thread.html/rbba08c4dcef3603e36276d49adda8eedbe458c5...
https://lists.apache.org/thread.html/rca833c6d42b7b9ce1563488c0929f29fcc95947...
https://lists.apache.org/thread.html/rce5ac9a40173651d540babce59f6f3825f12c6d...
https://lists.apache.org/thread.html/rce5ac9a40173651d540babce59f6f3825f12c6d...
https://lists.apache.org/thread.html/rd5babd13d7a350b369b2f647b4dd32ce678af42...
https://lists.debian.org/debian-lts-announce/2020/12/msg00022.html
https://security.gentoo.org/glsa/202012-23
https://security.netapp.com/advisory/ntap-20201210-0003/
https://www.debian.org/security/2021/dsa-4835
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuApr2021.html
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2022.html
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 apache tomcat * From
(including)
8.5.1
Up to
(including)
8.5.59
运行在以下环境
应用 apache tomcat * From
(including)
9.0.1
Up to
(including)
9.0.35
运行在以下环境
应用 apache tomcat 10.0.0 -
运行在以下环境
应用 apache tomcat 9.0.0 -
运行在以下环境
应用 apache tomcat 9.0.35-3.39.1 -
运行在以下环境
应用 apache tomcat 9.0.35-3.57.3 -
运行在以下环境
应用 apache tomcat 9.0.36 -
运行在以下环境
应用 apache tomcat 9.0.37 -
运行在以下环境
应用 apache tomcat 9.0.38 -
运行在以下环境
应用 apache tomcat 9.0.39 -
运行在以下环境
系统 amazon linux_AMI tomcat8 * Up to
(excluding)
8.5.60-1.86.amzn1
运行在以下环境
系统 amazon_2 tomcat * Up to
(excluding)
3.0-api-8.5.60-1.amzn2
运行在以下环境
系统 amazon_AMI tomcat8 * Up to
(excluding)
8.5.60-1.86.amzn1
运行在以下环境
系统 debian_10 tomcat9 * Up to
(excluding)
9.0.31-1~deb10u3
运行在以下环境
系统 debian_11 tomcat9 * Up to
(excluding)
9.0.40-1
运行在以下环境
系统 debian_12 tomcat9 * Up to
(excluding)
9.0.40-1
运行在以下环境
系统 debian_9 tomcat8 * Up to
(excluding)
8.5.54-0+deb9u5
运行在以下环境
系统 kylinos_aarch64_V10SP1 tomcat * Up to
(excluding)
9.0.10-25.ky10
运行在以下环境
系统 kylinos_aarch64_V10SP2 tomcat * Up to
(excluding)
9.0.10-25.ky10
运行在以下环境
系统 kylinos_x86_64_V10SP1 tomcat * Up to
(excluding)
9.0.10-25.ky10
运行在以下环境
系统 kylinos_x86_64_V10SP2 tomcat * Up to
(excluding)
9.0.10-25.ky10
运行在以下环境
系统 opensuse_Leap_15.1 tomcat * Up to
(excluding)
9.0.36-lp151.3.39.1
运行在以下环境
系统 opensuse_Leap_15.2 tomcat * Up to
(excluding)
9.0.36-lp152.2.16.1
运行在以下环境
系统 sles_12_SP5 tomcat8 * Up to
(excluding)
9.0.36-3.58.1
运行在以下环境
系统 suse_12_SP5 tomcat * Up to
(excluding)
9.0.36-3.58.1
运行在以下环境
系统 ubuntu_20.04 tomcat9 * Up to
(excluding)
9.0.31-1ubuntu0.2
阿里云评分
5.8
  • 攻击路径
    远程
  • 攻击复杂度
    复杂
  • 权限要求
    无需权限
  • 影响范围
    有限影响
  • EXP成熟度
    POC 已公开
  • 补丁情况
    官方补丁
  • 数据保密性
    数据泄露
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-200 信息暴露
阿里云安全产品覆盖情况