Ce document traite des problèmes liés à ePO et à la vulnérabilité Tomcat. Ce rapport reflète les questions concernant CVE-2021-33037 , référencées dans l’avis de sécurité de Tomcat.

Le 15 juin, 2021 , la Fondation Apache Tomcat a publié l’avis de sécurité suivant pour CVE-2021-33037 :

Description CVE :
Apache Tomcat n’a & direction ; t analyse correctement l’en-tête de la demande de codage HTTP Transfer dans certaines circonstances, ce qui se traduit par une éventualité de piratage en cas d’utilisation avec une proxy inverse. En particulier, Tomcat n’a pas correctement ignoré l’en-tête Transfer-Encoding si le client l’a déclaré n’accepterait qu’une HTTP/1.0 réponse. Tomcat a respecté le codage d’identification, mais Tomcat n' &a pas garantir que, le cas échéant, le codage segmenté était le codage final.

Comme l’indique la description CVE, cette CVE s’applique uniquement à une mise en œuvre de Tomcat lorsqu’elle est utilisée avec une proxy inverse. Si une & proxy inversée inversée n’est pas utilisée dans votre mise en œuvre d’ePO, cette CVE ne s’applique pas &.

Nous &ons à présent l’étude de la mise en œuvre de CVE-2021-33037 pour ePO & #39 ; s Tomcat dans un environnement qui utilise une proxy inverse. Cet article sera mis à jour à l’issue de cette enquête.