云安全日报201204：Apache Tomcat应用服务器发现信息泄露漏洞，需要尽快升级

Apache HTTP Server（简称Apache）是Apache软件基金会的一个开放源码的网页(Web)服务器，可以在大多数计算机操作系统中运行，由于其多平台和安全性被广泛使用，是最流行的Web服务器端软件之一.Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,它是一个小型的轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用。

12月3日，Apache Tomcat安全团队发布了安全更新,修复了Tomcat中信息泄露等重要漏洞。以下是漏洞详情：

漏洞详情

来源：https://lists.apache.org/thread.html/rce5ac9a40173651d540babce59f6f3825f12c6d4e886ba00823b11e5%40%3Cannounce.tomcat.apache.org%3E

CVE-2020-17527 严重程度：中等

Apache Tomcat可以将HTTP/2连接上收到的先前流中的HTTP请求标头值重新用于与后续流相关联的请求。这很可能会导致错误并关闭HTTP/2连接,出现拒绝服务，也可能会在请求之间导致重要信息泄露。

受影响产品和版本

Apache Tomcat 10.0.0-M1至10.0.0-M9

Apache Tomcat 9.0.0.M5至9.0.39

Apache Tomcat 8.5.1至8.5.59

解决方案

升级到Apache Tomcat 10.0.0-M10或更高版本

升级到Apache Tomcat 9.0.40或更高版本

升级到Apache Tomcat 8.5.60或更高版本

查看更多漏洞信息 以及升级请访问官网：

http://tomcat.apache.org/security.html

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!