Apache Tomcat 至 9.0.30 Header Transfer-Encoding 请求走私漏洞

admin

0
文章

0
评论

2023-12-01 23:51:22 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危 Apache Tomcat 至 9.0.30 Header Transfer-Encoding 请求走私漏洞

CVE编号

CVE-2019-17569

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-02-25

漏洞描述

Apache Tomcat 9.0.28至9.0.30、8.5.48至8.5.50和7.0.98至7.0.99中的重构引入了回归。回归的结果是，如果Tomcat位于以特定方式错误处理了无效的Transfer-Encoding头的反向代理后面，则错误地处理了无效的Transfer-Encoding头会导致HTTP请求走私的可能性。这种反向代理被认为是不可能的。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://lists.opensuse.org/opensuse-security-announce/2020-03/msg00025.html
https://lists.apache.org/thread.html/r7bc994c965a34876bd94d5ff15b4e1e30b6220a...
https://lists.apache.org/thread.html/r88def002c5c78534674ca67472e035099fbe088...
https://lists.apache.org/thread.html/rc31cbabb46cdc58bbdd8519a8f64b6236b2635a...
https://lists.debian.org/debian-lts-announce/2020/03/msg00006.html
https://security.netapp.com/advisory/ntap-20200327-0005/
https://www.debian.org/security/2020/dsa-4673
https://www.debian.org/security/2020/dsa-4680
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	apache	tomcat	*	From (including) 7.0.98	Up to (including) 7.0.99
	运行在以下环境
	应用	apache	tomcat	*	From (including) 8.5.48	Up to (including) 8.5.50
	运行在以下环境
	应用	apache	tomcat	*	From (including) 9.0.28	Up to (including) 9.0.30
	运行在以下环境
	系统	amazon_2	tomcat	*		Up to (excluding) 8.5.51-1.amzn2
	运行在以下环境
	系统	amazon_AMI	tomcat7	*		Up to (excluding) 8.5.51-1.83.amzn1
	运行在以下环境
	系统	debian_10	tomcat9	*		Up to (excluding) 9.0.31-1~deb10u1
	运行在以下环境
	系统	debian_11	tomcat9	*		Up to (excluding) 9.0.31-1
	运行在以下环境
	系统	debian_12	tomcat9	*		Up to (excluding) 9.0.31-1
	运行在以下环境
	系统	debian_8	tomcat7	*		Up to (excluding) 7.0.56-3+deb8u3
	运行在以下环境
	系统	debian_9	tomcat8	*		Up to (excluding) 8.5.54-0+deb9u1
	运行在以下环境
	系统	debian_sid	tomcat9	*		Up to (excluding) 9.0.31-1
	运行在以下环境
	系统	opensuse_Leap_15.1	tomcat-javadoc	*		Up to (excluding) 9.0.31-lp151.3.12.1
	运行在以下环境
	系统	suse_12	tomcat	*		Up to (excluding) 9.0.31-3.25
	运行在以下环境
	系统	suse_12_SP4	tomcat-el-3_0-api	*		Up to (excluding) 9.0.31-3.25.1
	运行在以下环境
	系统	suse_12_SP5	tomcat-el-3_0-api	*		Up to (excluding) 9.0.31-3.25.1