En este documento se abordan las preocupaciones sobre ePO y la vulnerabilidad de Tomcat. Este informe refleja las preguntas sobre CVE-2021-33037, al que se hace referencia en el aviso de seguridad de Tomcat.

Relativa 15 de junio de 2021, el Apache Tomcat Foundation emitió el siguiente aviso de seguridad para CVE-2021-33037:

Descripción de CVE:
Apache Tomcat no analizó correctamente el encabezado de solicitud de codificación de transferencia HTTP en algunas circunstancias, lo que provoca la posibilidad de que se contrabando la solicitud Cuando se utiliza con una proxy inversa. Concretamente: Tomcat ignoraba erróneamente el encabezado de codificación de transferencia si el cliente declaraba solo aceptaría un HTTP/1.0 responder. Tomcat ha respetado la codificación de identificación, pero Tomcat no se ha cerciorado de que, si existe, la codificación fragmentada fuera la codificación final.

Como indica la descripción de CVE, este CVE solo se aplica a la implementación de Tomcat cuando se utiliza con una proxy inversa. Si no se utiliza una proxy inversa en su implementación de ePO, este CVE no se aplica.

Actualmente estamos investigando si CVE-2021-33037 se aplica a la implementación de Tomcat de ePO en un entorno que utiliza una proxy inversa. Este artículo se actualizará cuando se complete la investigación.