CVE-2021-24122：Tomcat信息泄漏漏洞风险通告

　　近日， Apache发布了Tomcat信息泄露漏洞风险通告，漏洞编号 CVE-2021-24122，漏洞被利用可导致文件读取或信息泄漏。建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

　　漏洞详情

　　据官方描述，该漏洞由于Windows API(FindFirstFileW)与JRE API File.getCanonicalPath的一些意外行为所导致。当使用NTFS文件系统时，可以绕过一些安全限制，最终可导致如查看某些配置中JSP的源代码等危害。

　　影响版本

　　Apache Tomcat 10.0.0-M1至10.0.0-M9;

　　Apache Tomcat 9.0.0.M1至9.0.39;

　　Apache Tomcat 8.5.0至8.5.59;

　　Apache Tomcat 7.0.0至7.0.106;

　　修复版本

　　升级到Apache Tomcat 10.0.0-M10或更高版本;

　　升级到Apache Tomcat 9.0.40或更高版本;

　　升级到Apache Tomcat 8.5.60或更高版本;

　　升级到Apache Tomcat 7.0.107或更高版本;

　　修复建议

　　官方已发布漏洞修复版本，请评估业务是否受影响后，尽快升级至上述安全版本

　　【备注】：建议您在安装补丁前做好数据备份工作，避免出现意外

　　漏洞参考

　　官方安全公告：

　　https://tomcat.apache.org/security-10.html

　　https://tomcat.apache.org/security-9.html

　　https://tomcat.apache.org/security-8.html

　　https://tomcat.apache.org/security-7.html