组件介绍

Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目, 由Apache, Sun 和其他一些公司及个人共同开发而成. 由于有了Sun 的参与和支持, 最新的Servlet 和JSP 规范总是能在Tomcat 中得到体现, Tomcat 5支持最新的Servlet 2.4 和JSP 2.0 规范. Tomcat 服务器是一个免费的开放源代码的Web 应用服务器, 属于轻量级应用服务器, 在中小型系统和并发访问用户不是很多的场合下被普遍使用, 是开发和调试JSP 程序的首选.

漏洞描述

2021年10月18日, 深信服安全团队监测到一则Apache HTTP Server组件存在SSRF漏洞的信息, 漏洞编号:CVE-2021-40438, 漏洞威胁等级:高危.

该漏洞是由于对用户的输入没有进行严格的过滤导致, 攻击者可以构造恶意数据进行SSRF攻击, 可以使服务器将请求转发到远程用户选择的服务器.

影响范围

全球有数百万 Web服务器采用 Apache HTTP Server, 可能受漏洞影响的资产广泛分布于世界各地, 国内省份中受影响资产分布于广东, 上海, 北京等省市.

目前受影响的Apache HTTP Server版本:

Apache HTTP Server ≤ 2.4.48

查看系统版本

Windows系统:在cmd中输入httpd -v, 可以查看版本号:

Linux系统: shell中输入httpd -v, 可以查看版本号:

官方修复建议

当前官方已发布最新版本, 建议受影响的用户及时更新升级到最新版本. 链接如下:

https://httpd.apache.org/download.cgi