このドキュメントでは、ePO と Tomcat の脆弱性に関する懸念事項について説明します。 このレポートは、Tomcat セキュリティ アドバイザリで参照されている CVE-2021-33037 に関する質問を反映しています。

2021 年 6 月 15 日、Apache Tomcat Foundation は、CVE-2021-33037 に対して次のセキュリティ アドバイザリを発行しました。

CVE の説明:
Apache Tomcat は、状況によっては HTTP 転送エンコーディング要求ヘッダーを正しく解析しなかったため、リバース プロキシと一緒に使用するとリクエストのスマグリングが発生する可能性があります。 具体的には: Tomcat は、クライアントが HTTP/1.0 応答のみを受け入れると宣言した場合、転送エンコーディング ヘッダーを誤って無視していました。 Tomcat は識別エンコーディングを尊重しましたが、Tomcat は、チャンクされたエンコーディングが存在する場合、それが最終的なエンコーディングであることを保証しませんでした。

CVE の説明が示すように、この CVE は、リバース プロキシとともに使用される場合の Tomcat 実装にのみ適用されます。 ePO の実装でリバース プロキシが使用されていない場合、この CVE は適用されません。

現在、リバース プロキシを使用する環境での ePO の Tomcat 実装に CVE-2021-33037 が適用されるかどうかを調査しています。 この記事は、その調査が完了したときに更新されます。