Este documento aborda preocupações com o ePO e a vulnerabilidade do Tomcat. Esse relatório reflete as perguntas sobre CVE-2021-33037, referenciado no comunicado de segurança do Tomcat.

Num 15 de junho de 2021, o Apache Tomcat Foundation emitiu o seguinte comunicado de segurança para CVE-2021-33037:

Descrição do CVE:
Apache Tomcat não analisa corretamente o cabeçalho da solicitação HTTP Transfer-Encoding em algumas circunstâncias, levando à possibilidade de solicitação smuggling Quando usada com um proxy reverso. Especificamente: o Tomcat ignorou incorretamente o cabeçalho da codificação de transferência se o cliente tiver declarado que aceitaria apenas um HTTP/1.0 Responda. O Tomcat homenageau a codificação de identificação, mas o Tomcat não assegurava que, se presente, a codificação em partes foi a codificação final.

Como indica a descrição do CVE, esse CVE se aplica a uma implementação do Tomcat quando usada com um proxy reverso. Se um proxy inverso não for usado na implementação do ePO, este CVE não se aplicará.

Estamos investigando, no momento, se o CVE-2021-33037 se aplica à implementação Tomcat do ePO em um ambiente que usa um proxy reverso. Este artigo será atualizado quando a investigação for concluída.