← volver
CVE-2021-33037

Incorrect Transfer-Encoding handling with HTTP/1.0

EPSS 75.4%CWE-444
En resumen

Apache Tomcat en las versiones 8.5, 9.0 y 10.0 tiene un defecto en la forma en que procesa el encabezado HTTP transfer-encoding en ciertas situaciones, permitiendo que un atacante manipule cómo se interpretan las solicitudes cuando Tomcat está detrás de un proxy inverso. Esto puede provocar ataques de contrabando de solicitudes que eludan controles de seguridad.

Detalle técnico

La vulnerabilidad resulta del procesamiento inadecuado del encabezado Transfer-Encoding: Tomcat ignora transfer-encoding si el cliente solicita respuestas HTTP/1.0, honra incorrectamente la codificación identity, y no valida que chunked encoding sea la codificación final. Cuando se implementa detrás de un proxy inverso, esta discrepancia permite el contrabando de solicitudes HTTP (CWE-444), permitiendo que los atacantes inyecten solicitudes que eludan WAF o mecanismos de autenticación.

Resumen generado y traducido por IA a partir de la descripción oficial.
Apache Tomcat 10.0.0-M1 to 10.0.6, 9.0.0.M1 to 9.0.46 and 8.5.0 to 8.5.66 did not correctly parse the HTTP transfer-encoding request header in some circumstances leading to the possibility to request smuggling when used with a reverse proxy. Specifically: - Tomcat incorrectly ignored the transfer encoding header if the client declared it would only accept an HTTP/1.0 response; - Tomcat honoured the identify encoding; and - Tomcat did not ensure that, if present, the chunked encoding was the final encoding.
Productos afectados
Apache Software Foundation · Apache Tomcat

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://kc.mcafee.com/corporate/index?page=content&id=SB10366https://lists.apache.org/thread.html/r290aee55b72811fd19e75ac80f6143716c079170c5671b96932ed44b%40%3Ccommits.tomee.apache.org%3Ehttps://lists.apache.org/thread.html/r40f921575aee8d7d34e53182f862c45cbb8f3d898c9d4e865c2ec262%40%3Ccommits.tomee.apache.org%3Ehttps://lists.apache.org/thread.html/r612a79269b0d5e5780c62dfd34286a8037232fec0bc6f1a7e60c9381%40%3Cannounce.tomcat.apache.org%3Ehttps://lists.apache.org/thread.html/rc6ef52453bb996a98cb45442871a1db56b7c349939e45d829bf9ae37%40%3Ccommits.tomee.apache.org%3Ehttps://lists.apache.org/thread.html/rd0dfea39829bc0606c936a16f6fca338127c86c0a1083970b45ac8d2%40%3Ccommits.tomee.apache.org%3Ehttps://lists.apache.org/thread.html/re01e7e93154e8bdf78a11a23f9686427bd3d51fc6e12c508645567b7%40%3Ccommits.tomee.apache.org%3Ehttps://lists.apache.org/thread.html/rf1b54fd3f52f998ca4829159a88cc4c23d6cef5c6447d00948e75c97%40%3Ccommits.tomee.apache.org%3Ehttps://lists.debian.org/debian-lts-announce/2021/08/msg00009.htmlhttps://security.gentoo.org/glsa/202208-34https://security.netapp.com/advisory/ntap-20210827-0007/https://www.debian.org/security/2021/dsa-4952