本文档介绍了在此处发布的 Tomcat 安全咨询中提到的 ePO 和 Tomcat 漏洞的相关问题:
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat _7.0.100
描述
下面是漏洞列表。
CVE-2020-1938(
高: Apache JServ 协议请求注入和潜在远程代码执行)
使用 Apache JServ 协议(AJP)时,必须注意信任与 Apache Tomcat 的入站连接。 Tomcat 将 AJP 连接视为具有更高的信任度,例如类似的 HTTP 连接。 如果攻击者可以使用此类连接,则可以利用这些连接。 在 Apache 7.0.0自7.0.99中,在默认情况下,使用 AJP 连接器随附的 Tomcat 已在所有配置的 IP 地址上侦听。 预期(并在安全手册中建议)如果不需要,该连接器将被禁用。 此漏洞报告确定了一种机制,允许从网络应用程序中的任意位置返回任意文件,并将网络应用程序中的任何文件作为 JSP 进行处理。 此外,如果网络应用程序允许文件上传并将这些文件存储在网络应用程序中(或者攻击者能够通过某些其他方法控制网络应用程序的内容),则该问题和处理文件作为 JSP 的功能使得远程代码执行成为可能。 必须要注意的是,只有在不受信任的用户可以访问 AJP 端口时才需要缓解。
CVE-2020-1935(
低: HTTP 请求走私)
HTTP 标头解析代码使用了对行结束(EOL)解析的方法,该方法允许将某些无效 HTTP 标头解析为有效。 这一事实导致如果 Tomcat 位于反向代理服务器后面,且以特定方式错误地处理无效的传输编码标头,则可能会 HTTP 请求走私。 这种反向代理会被视为不太可能。
CVE-2019-17569(
低: HTTP 请求走私)
7.0.98中的重构引入了回归。 回归的结果是,无效的传输编码标头被错误地处理,导致可能 HTTP 请求走私,如果 Tomcat 位于反向代理服务器后,则以特定方式错误地处理了无效的传输编码标头。 这种反向代理会被视为不太可能。
研究和结论
ePO 工程团队已审阅这些 CVEs 并确定了以下内容:
- CVE-2020-1938: ePO 不会受到 Tomcat 中此漏洞的影响,因为默认情况下,在我们的配置中禁用了易受攻击的 AJP 监听器。
- CVE-2020-1935 和 CVE-2019-17569: ePO 可能会受到这些低分数问题的影响。 McAfee 将在将来5.10累积更新(CU)版本中更新 ePO Tomcat。
注意: 知识库中提及的任何未来产品功能或版本都旨在概述我们的一般产品方向,不应将其视为承诺或作出购买决策时的依赖。