Este documento aborda as preocupações com o ePO e as vulnerabilidades do Tomcat referenciadas no comunicado de segurança do Tomcat publicado aqui:
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.100
Descrição
Abaixo encontra-se a lista de vulnerabilidades.
CVE-2020-1938 (
Alto: Apache injeção de solicitação de protocolo JServ e execução de código remoto em potencial)
Ao usar o Apache JServ Protocol (AJP), é necessário tomar cuidado ao confiar nas conexões de entrada para o Apache Tomcat. O Tomcat trata as conexões do AJP como tendo uma confiança maior do que, por exemplo, uma conexão HTTP semelhante. Se essas conexões estiverem disponíveis para um atacante, elas poderão ser exploradas. Em Apache 7.0.0 Para 7.0.99, O Tomcat foi fornecido com um AJP Connector ativado por padrão que escuta em todos os endereços IP configurados. Era esperado (e recomendado no guia de segurança) que esse conector estaria desativado se não for necessário. Esse relatório de vulnerabilidade identificou um mecanismo que permitia retornar arquivos arbitrários de qualquer lugar do aplicativo Web e processar qualquer arquivo no aplicativo Web como um JSP. Além disso, se o aplicativo da Web permitido arquivo fazer upload e armazenado esses arquivos dentro do aplicativo da Web (ou se o atacante pudesse controlar o conteúdo do aplicativo Web por algum outro meio), esse problema e a capacidade de processar um arquivo como JSP, torna possível a execução remota de código. É importante observar que a mitigação só é necessária se uma porta AJP for acessível a usuários não confiáveis.
CVE-2020-1935 (
Econômico: HTTP Request Smuggling)
O código de análise do cabeçalho HTTP usou uma abordagem para a análise de fim de linha (EOL) que permitia a análise de alguns cabeçalhos HTTP inválidos como válidos. Esse fato levou a uma possibilidade de solicitação de HTTP Smuggling se o Tomcat estivesse localizado atrás de um proxy reverso que tratou incorretamente o cabeçalho de codificação de transferência inválido de uma maneira específica. Tal proxy inverso é considerada improvável.
CVE-2019-17569 (
Econômico: HTTP Request Smuggling)
A refatoração em 7.0.98 introduziu uma regressão. O resultado da regressão era que cabeçalhos de codificação de transferência inválidos eram processados de forma incorreta, levando a uma possibilidade de HTTP Request Smuggling se o Tomcat estivesse localizado atrás de um proxy reverso que tratou incorretamente o cabeçalho de codificação de transferência inválido de uma maneira específica. Tal proxy inverso é considerada improvável.
Pesquisa e conclusões
A equipe de engenharia do ePO analisou esses CVEs e determinou o seguinte:
- CVE-2020-1938: o ePO não é afetado por essa vulnerabilidade no Tomcat porque o ouvinte AJP vulnerável está desativado por padrão em nossa configuração.
- CVE-2020-1935 e CVE-2019-17569: o ePO é possivelmente afetado por essas pequenas questões pontuais. McAfee irá atualização o ePO Tomcat em um futuro 5.10 Versão de atualização cumulativa (CU).
NOTA: qualquer funcionalidade ou versão futura do produto mencionada na Base de dados de conhecimento destina-se a descrever nossas diretrizes gerais do produto e não devem ser levadas em conta, seja como um compromisso, seja ao tomar uma decisão de compra.
