Este documento aborda las preocupaciones sobre ePO y las vulnerabilidades de Tomcat a las que se hace referencia en el aviso de seguridad de Tomcat publicado aquí:
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.100
Descripción
A continuación se muestra la lista de vulnerabilidades.
CVE-2020-1938 (
Alto: Apache la inyección de solicitudes de protocolo JServ y la posible ejecución remota de código)
Al utilizar el protocolo JServ de Apache (AJP), debe tener cuidado a la hora de confiar en las conexiones entrantes a Apache Tomcat. Tomcat trata las conexiones de AJP como con una confianza mayor que, por ejemplo, una conexión HTTP similar. Si estas conexiones están disponibles para un atacante, se pueden aprovechar. En Apache 7.0.0 Para 7.0.99, Tomcat se administró con un conector de AJP activado de forma predeterminada que escucha en todas las direcciones IP configuradas. Se esperaba (y se recomienda en la guía de seguridad) que este conector se desactivaría si no fuera necesario. Este informe de vulnerabilidad identificó un mecanismo que permitía devolver archivos arbitrarios de cualquier parte de la aplicación web y procesar cualquier archivo en la aplicación web como JSP. Además, si la aplicación Web permitía cargar y almacenar esos archivos en la aplicación web (o bien el atacante podía controlar el contenido de la aplicación web por algún otro medio), este problema y la capacidad de procesar un archivo como JSP realizaba la ejecución remota de código. Es importante tener en cuenta que la mitigación solo es necesaria si un puerto AJP es accesible para los usuarios que no son de confianza.
CVE-2020-1935 (
Deficiencia: Solicitud HTTP contrabando)
El código de análisis de encabezados HTTP ha utilizado un enfoque de análisis de fin de línea (EOL) que permitía que algunos encabezados HTTP no válidos se analizaran como válidos. Este hecho provocaba la posibilidad de que se contrabando solicitudes HTTP si Tomcat se encontraba detrás de un proxy inverso que controlaba incorrectamente el encabezado de codificación de transferencia no válida de una forma particular. Este proxy inverso se considera poco probable.
CVE-2019-17569 (
Deficiencia: Solicitud HTTP contrabando)
La refactorización en 7.0.98 se ha introducido una regresión. El resultado de la regresión era que los encabezados de codificación de transferencia no válidos se procesaban incorrectamente, lo que provocaba una posible ingestión de solicitudes HTTP contrabando si Tomcat se encontraba detrás de un proxy inverso que controlaba incorrectamente el encabezado Transfer-Encoding de una forma particular. Este proxy inverso se considera poco probable.
Investigación y conclusiones
El equipo de ingeniería de ePO ha revisado estos CVE y ha determinado lo siguiente:
- CVE-2020-1938: ePO no se ve afectado por esta vulnerabilidad en Tomcat porque el agente de escucha AJP vulnerable está desactivado de forma predeterminada en nuestra configuración.
- CVE-2020-1935 y CVE-2019-17569: ePO probablemente se ve afectada por estos problemas de calificación baja. McAfee se actualizará ePO Tomcat en un futuro 5.10 Versión de actualización acumulativa (CU).
NOTA: Todas las futuras funcionalidades o lanzamientos de productos mencionados en la Base de conocimiento pretenden brindar una idea general de la dirección de los productos, por lo que no debe confiar en ellas para tomar una decisión de compra ni entenderlas como un compromiso.
