轉發教育機構ANA通報平台公告－

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201608-0030
Apache Tomcat是Apache軟體基金會旗下的一款輕量級Web伺服器，8.5.4(含)前的版本如啟用CGI Servlet執行CGI腳本(預設是關閉)，其HTTP_PROXY環境變數未能有效過濾客戶端請求，造成HTTP_PROXY的變數內容，可被攻擊者發送的變數內容給覆蓋掉，造成攻擊者可利用此漏洞遠端執行中間人攻擊，以及將目標的HTTP流量重新導向至任意的伺服器。
請檢視是否安裝受影響之Apache Tomcat伺服器，如啟用CGI Servlet執行CGI腳本，請儘速參考官方網頁所提供的臨時性解決方案進行修正。

影響平台:
Apache Tomcat伺服器8.5.4(含)前的版本


建議措施:
1. 請於已安裝Apache Tomcat伺服器之電腦，依據不同平台使用「version.bat」或「version.sh」指令確認目前所使用之Apache Tomcat版本是否為8.5.4(含)前的版本。

2. 請於已安裝Apache Tomcat伺服器8.5.4(含)前版本之電腦，檢視conf/web.xml設定檔，確認Servlet與Servlet-mapping區段是否為「註解」的狀態(代表停用CGI Servlet機制，範例如附件一與附件二)，若已「取消註解」，則表示已啟用CGI Servlet機制。

3. 若已啟用CGI Servlet機制，且仍有使用之需求，目前可透過官方所發布之臨時性解決方案進行修正，例如重新編譯tomcat/lib目錄內的catalina.jar檔，或是自行編譯一個拒絕PROXY Header請求的jar檔等方法，詳細內容可參考官方網頁資訊(https://www.apache.org/security/asf-httpoxy-response.txt)。

4. 現階段因官方尚未正式釋出修正後的版本，所以仍請密切注意Apache Tomcat官方網頁(http://tomcat.apache.org/)之更新訊息。

參考資料:
1. https://httpoxy.org/
2. https://www.apache.org/security/
3. https://ci.apache.org/projects/tomcat/tomcat85/docs/apr.html