Questo documento affronta le preoccupazioni relative a ePO e alla vulnerabilità di Tomcat. Questo rapporto riflette le domande relative CVE-2021-33037, a cui si fa riferimento nell'Advisory sulla sicurezza Tomcat.

Su 15 giugno 2021, la Apache Tomcat Foundation ha emesso il seguente avviso di sicurezza per CVE-2021-33037:

Descrizione CVE:
Apache Tomcat non ha analizzato correttamente l'intestazione della richiesta di trasferimento-codifica HTTP in alcune circostanze, portando alla possibilità di richiedere il contrabbando Quando viene utilizzato con una proxy inversa. In particolare: Tomcat ha erroneamente ignorato l'intestazione Transfer-Encoding se il client ha dichiarato di accettare solo un HTTP/1.0 risposta. Tomcat ha onorato la codifica identificata, ma Tomcat non ha garantito che, se presente, la codifica chunked fosse la codifica finale.

Come indicato nella descrizione CVE, questo CVE si applica solo a un'implementazione Tomcat quando viene utilizzato con un proxy inverso. Se nell'implementazione ePO non viene utilizzato un proxy inverso, questo CVE non viene applicato.

Attualmente stiamo indagando se CVE-2021-33037 si applica all'implementazione Tomcat di ePO in un ambiente che utilizza un proxy inverso. Questo articolo verrà aggiornato al termine dell'indagine.