根据公告，当Tomcat使用NTFS文件系统从网络位置提供资源时，存在未授权查看JSP源代码的漏洞，导致信息泄露效果，建议及时更新到漏洞修复的版本。

Apache Tomcat历史安全公告请参考：

Apache Tomcat 10.x版本

http://tomcat.apache.org/security-10.html

Apache Tomcat 9.x版本

http://tomcat.apache.org/security-9.html

Apache Tomcat 8.5.x版本

http://tomcat.apache.org/security-8.html

Apache Tomcat 7.x版本

http://tomcat.apache.org/security-7.html

CVE-2021-24122信息泄露漏洞主要影响以下Tomcat版本：

Apache Tomcat 10.0.0-M1至10.0.0-M9，建议更新到10.0.0-M10以上版本

Apache Tomcat 9.0.0.0.M1至9.0.39，建议更新到 9.0.40以上版本

Apache Tomcat 8.5.0至8.5.59，建议更新到8.5.60以上版本

Apache Tomcat 7.0.0至7.0.106，建议更新到7.0.107以上版本

官方下载地址：

https://tomcat.apache.org/download-70.cgi

https://tomcat.apache.org/download-80.cgi

https://tomcat.apache.org/download-90.cgi

https://tomcat.apache.org/download-10.cgi

或Github下载：

https://github.com/apache/tomcat/releases

通过安恒SUMAP平台对国内外暴露在互联网上Apache Tomcat的服务器进行统计，最新查询分布情况如下：

国内分布：

CVE-2021-24122信息泄露漏洞，根据分析，当Tomcat部署在Windows系统的场景中，Tomcat使用NTFS文件系统从网络位置提供资源时，存在未授权查看JSP源代码的漏洞，导致信息泄露效果，恶意攻击者可以利用该漏洞获得目标系统敏感信息后进一步实施攻击，建议及时更新到漏洞修复的版本。

高危：目前漏洞细节和利用代码暂未公开，但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码，建议部署了存在漏洞版本的用户及时更新到漏洞修复的版本。

安恒应急响应中心

2021年1月