CVE-2016-8745

Un fallo en el control de errores del código de envío de archivo para el conector NIO HTTP en Apache Tomcat 9.0.0.M1 a 9.0.0.M13, 8.5.0 a 8.5.8, 8.0.0.RC1 a 8.0.39, 7.0.0 a 7.0.73 y 6.0.16 a 6.0.48 daba lugar a la adición del objeto Processor a la caché Processor varias veces. Esto significa que el mismo Processor podría emplearse para peticiones simultáneas. Compartir un Processor puede desembocar en un filtrado de información entre peticiones incluyendo, pero sin limitarse al ID de sesión y el cuerpo de la respuesta. Este error se detectó por primera vez en las versiones 8.5.x en adelante, donde parece que la refactorización del código Connector para las versiones 8.5.x en adelante aumentaba la posibilidad de que se observase el error. Al principio, se pensó que la refactorización de las versiones 8.5.x introdujo el error, pero investigaciones en mayor profundida han determinado que el error está presente en todas las versiones de Tomcat compatibles actualmente.

A bug was discovered in the error handling of the send file code for the NIO HTTP connector. This led to the current Processor object being added to the Processor cache multiple times allowing information leakage between requests including, and not limited to, session ID and the response body.