Este documento aborda preocupações com o ePO e a vulnerabilidade do Tomcat. Esse relatório reflete as perguntas sobre
CVE-2021-33037, referenciado no comunicado de segurança do Tomcat.
Num
15 de junho de 2021, o Apache Tomcat Foundation emitiu o seguinte comunicado de segurança para
CVE-2021-33037:
Descrição do CVE:
Apache Tomcat não analisa corretamente o cabeçalho da solicitação HTTP Transfer-Encoding em algumas circunstâncias, levando à possibilidade de solicitação smuggling
Quando usada com um proxy reverso. Especificamente: o Tomcat ignorou incorretamente o cabeçalho da codificação de transferência se o cliente tiver declarado que aceitaria apenas um
HTTP/1.0 Responda. O Tomcat homenageau a codificação de identificação, mas o Tomcat não assegurava que, se presente, a codificação em partes foi a codificação final.
Como indica a descrição do CVE, esse CVE se aplica a uma implementação do Tomcat quando usada com um proxy reverso. Se um proxy inverso não for usado na implementação do ePO, este CVE não se aplicará.
Estamos investigando, no momento, se o CVE-2021-33037 se aplica à implementação Tomcat do ePO em um ambiente que usa um proxy reverso. Este artigo será atualizado quando a investigação for concluída.
Para receber notificações por e-mail quando este artigo for atualizado, clique em Assinar na lateral direita da página. Você deve estar conectado para assinar.