组件介绍

Tomcat是Apache 软件基金会（Apache Software Foundation）的Jakarta 项目中的一个核心项目，由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持，最新的Servlet 和JSP 规范总是能在Tomcat 中得到体现，Tomcat 5支持最新的Servlet 2.4 和JSP 2.0 规范。Tomcat 服务器是一个免费的开放源代码的Web 应用服务器，属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP 程序的首选。

漏洞描述

2021年3月2日，深信服安全团队监测到Apache Tomcat官方发布了一则漏洞安全通告，通告披露了Tomcat组件存在反序列化代码执行漏洞，漏洞编号：CVE-2021-25329。该漏洞由于官方在CVE-2020-9484漏洞修复上存在不足，攻击者可能可以构造恶意请求，绕过CVE-2020-9484补丁，造成反序列化代码执行漏洞。有关于CVE-2020-9484的分析可以查看相关链接。

官方修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://tomcat.apache.org/security-10.html