1. 漏洞公告

近日，监测到Apache Tomcat官方邮件列表通告修复了一个信息泄漏漏洞，对应CVE编号：CVE-2021-24122，漏洞公告：http://mail-archives.apache.org/mod_mbox/www-announce/202101.mbox/%3cf3765f21-969d-7f21-e34a-efc106175373@apache.org%3e。

根据公告，当Tomcat使用NTFS文件系统从网络位置提供资源时，存在未授权查看JSP源代码的漏洞，导致信息泄露效果，建议及时更新到漏洞修复的版本。

Apache Tomcat历史安全公告请参考：

Apache Tomcat 10.x版本

http://tomcat.apache.org/security-10.html

Apache Tomcat 9.x版本

http://tomcat.apache.org/security-9.html

Apache Tomcat 8.5.x版本

http://tomcat.apache.org/security-8.html

Apache Tomcat 7.x版本

http://tomcat.apache.org/security-7.html

2. 影响范围

CVE-2021-24122信息泄露漏洞主要影响以下Tomcat版本：

Apache Tomcat10.0.0-M1至10.0.0-M9，建议更新到10.0.0-M10以上版本

Apache Tomcat9.0.0.0.M1至9.0.39，建议更新到 9.0.40以上版本

Apache Tomcat8.5.0至8.5.59，建议更新到8.5.60以上版本

Apache Tomcat7.0.0至7.0.106，建议更新到7.0.107以上版本

官方下载地址：

https://tomcat.apache.org/download-70.cgi

https://tomcat.apache.org/download-80.cgi

https://tomcat.apache.org/download-90.cgi

https://tomcat.apache.org/download-10.cgi

或Github下载：

https://github.com/apache/tomcat/releases

对国内外暴露在互联网上Apache Tomcat的服务器进行统计，最新查询分布情况如下：

国内分布：

3. 漏洞描述

CVE-2021-24122信息泄露漏洞，根据分析，当Tomcat部署在Windows系统的场景中，Tomcat使用NTFS文件系统从网络位置提供资源时，存在未授权查看JSP源代码的漏洞，导致信息泄露效果，恶意攻击者可以利用该漏洞获得目标系统敏感信息后进一步实施攻击，建议及时更新到漏洞修复的版本。

4. 缓解措施

高危：目前漏洞细节和利用代码暂未公开，但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码，建议部署了存在漏洞版本的用户及时更新到漏洞修复的版本。