重要程度:中等
受影响的版本:
apache tomcat 9.0.0.m11 到 9.0.0.m15
apache tomcat 8.5.7 到 8.5.9
描述:
为更广泛地使用 bytebuffer,在重构时引入了一种回归,可能会导致信息在同一连接上的请求之间泄漏。 当在逆向代理之后运行时,可能会导致用户之间的信息泄漏。 所有的 http http connector variants 都会受到影响,http / 2 和 ajp 不受影响。
解决方案:
受影响的用户应:
升级到 apache tomcat 9.0.0.m17 或更高版本(apache tomcat 9.0.0.m16 已有修复,但未发布)
升级到 apache tomcat 8.5.11 或更高版本(apache tomcat 8.5.10 已有修复,但未发布)
更早期版本不受影响