漏洞信息摘要 CVE-2021-33037 Apache Tomcat HTTP Request Smuggling 严重程度: 重要 厂商: The Apache Software Foundation 影响版本: - Apache Tomcat 10.0.0-M1 到 10.0.6 - Apache Tomcat 9.0.0.M1 到 9.0.46 - Apache Tomcat 8.5.0 到 8.5.66 描述: - Apache Tomcat 在某些情况下无法正确解析 HTTP transfer-encoding 请求头,导致在使用反向代理时可能出现请求走私。具体来说,如果客户端声明只接受 HTTP/1.0 响应,Tomcat 会错误地忽略 transfer-encoding 头;Tomcat 尊重 identity 编码,但未确保这确实是最终编码。 缓解措施: - 受影响版本的用户应应用以下缓解措施之一: - 升级到 Apache Tomcat 10.0.7 或更高版本 - 升级到 Apache Tomcat 9.0.48 或更高版本 - 升级到 Apache Tomcat 8.5.68 或更高版本 - 注意该问题已在 9.0.47 和 8.5.67 中修复,但这些版本的发布投票未通过。 历史: - 2021-07-12 原始公告 参考链接: - [1] https://tomcat.apache.org/security-10.html - [2] https://tomcat.apache.org/security-9.html - [3] https://tomcat.apache.org/security-8.html