Questo documento affronta le preoccupazioni relative a ePO e alla vulnerabilità di Tomcat. Questo rapporto riflette le domande su
CVE-2021-33037, a cui si fa riferimento nell'avviso di sicurezza Tomcat.
Il
15 giugno 2021, la fondazione Apache Tomcat ha emesso il seguente avviso di sicurezza per
CVE-2021-33037:
Descrizione CVE:"Apache Tomcat non ha analizzato correttamente l'intestazione della richiesta di codifica del trasferimento HTTP in alcune circostanze, portando alla possibilità di contrabbando di richieste
se utilizzato con un proxy inverso. In particolare: Tomcat ignorava erroneamente l'intestazione di codifica del trasferimento se il client dichiarava che avrebbe accettato solo una risposta
HTTP/1.0 ; Tomcat ha onorato la codifica dell'identità, ma Tomcat non ha garantito che, se presente, la codifica a blocchi fosse la codifica finale".
Come indica la descrizione CVE, questo CVE si applica solo a un'implementazione Tomcat quando viene utilizzato con un proxy inverso. Se un proxy inverso non viene utilizzato nell'implementazione di ePO, questo CVE non si applica.
L'indagine su CVE-2021-33037 è stata completata e i risultati sono stati pubblicati in
SB10366 - Security Bulletin - L'aggiornamento di ePolicy Orchestrator risolve due vulnerabilità del prodotto (CVE-2021-31834 e CVE-2021-31835) e aggiorna Java, OpenSSL e Tomcat.