发布日期：2021-01-14
更新日期：2021-01-19

受影响系统：

Apache Tomcat 9.0.0.M1<= Version <=9.0.39
Apache Tomcat 8.5.0<= Version <=8.5.59
Apache Tomcat 7.0.0<= Version <= 7.0.106
Apache Tomcat 10.0.0-M1<=Version<=10.0.0-M9

描述：

---

CVE(CAN) ID: CVE-2021-24122

Apache Tomcat是美国阿帕奇（Apache）基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page（JSP）的支持。
Apache Tomcat存在信息泄露漏洞。该漏洞产生的原因是Windows API（FindFirstFileW)在某些情况下的不一致行为导致的JREAPI File.getCanonicalPath()的意外行为。攻击者可在使用NTFS文件系统从网络位置提供资源时利用该漏洞查看某些配置中的JSP源代码。

<*来源：Ilja Brander
  *>

建议：

---

厂商补丁：

Apache
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://lists.apache.org/thread.html/rca833c6d42b7b9ce1563488c0929f29fcc95947d86e5e740258c8937@%3Cdev.tomcat.apache.org%3E

浏览次数：2178
严重程度：0（网友投票）