在 Tomcat servlet 和 JSP 引擎中发现多个安全漏洞。

CVE-2019-17569

7.0.98 中的重构引入了一个回归。回归的结果便是无效传输编码标头被错误处理，如果 Tomcat 位于反向代理后面，而反向代理以特定方式错误地处理了无效的传输编码标头，则可能导致 HTTP 请求走私。此种反向代理被认为是不可能的。

CVE-2020-1935

HTTP 表头解析代码使用了一种行尾 (EOL) 解析方法，该方法允许将某些无效 HTTP 标头解析为有效。
如果 Tomcat 位于反向代理后面，而反向代理以特定方式错误地处理了无效的传输编码标头，则可能导致 HTTP 请求走私。此种反向代理被认为是不可能的。

CVE-2020-1938

当使用 Apache JServ Protocol (AJP) 时，当信任 Apache Tomcat 的传入连接时必须谨慎。Tomcat 将 AJP 连接视为比类似的 HTTP 连接（例如）具有更高的信任度。如果攻击者可使用此类连接，则他们会以惊人的方式利用此类连接。在 Tomcat 7.0.100 之前的版本中，Tomcat 附带有默认已启用的 AJP 连接器，该连接器侦听所有配置的 IP 地址。预期（安全指南中建议）此连接器将在不需要的时候禁用。

请注意，Debian 已默认禁用 AJP 连接器。仅当 AJP 端口可供不受信任的用户访问时才需要缓解。

对于 Debian 8“Jessie”，已在版本 7.0.56-3+really7.0.100-1 中修复这些问题。

我们建议您升级 tomcat7 程序包。

注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下，尽可能进行自动清理和排版。

检测

Debian DLA-2133-1：tomcat7 安全更新

critical Nessus 插件 ID 134243

版本 1.7