Apache Tomcat^®

Apache Tomcat^® 安全团队根据以下安全模型审查报告的漏洞

管理用户始终被视为可信。以下情况下，若攻击者已获得访问权限或控制权，则相关漏洞报告将被驳回：

• Tomcat 二进制文件和/或脚本。
• Tomcat 配置文件。
• Tomcat 日志文件。
• 临时目录（默认为 $CATALINA_BASE/temp）
• Web 应用程序工作目录（默认为 $CATALINA_BASE/work）
• Tomcat 提供的 Manager 或 Host Manager Web 应用程序。
• JMX API（本地或远程）。
• Java Attach API 或任何其他调试接口。

若漏洞报告涉及攻击者诱骗管理用户执行其不打算执行的操作（例如 CSRF 漏洞），则将被接受。

部署到 Tomcat 的 Web 应用程序被视为可信。用户提供的 Web 应用程序中的漏洞属于应用程序漏洞，而非 Tomcat 漏洞。

启用了允许修改 Web 应用程序的功能（例如 WebDAV、HTTP PUT 请求或类似功能）的 Web 应用程序应采取措施来保护该功能。未能做到这一点属于应用程序漏洞，而非 Tomcat 漏洞。

针对 ASF 标准 Tomcat 发行版中包含的 Web 应用程序的漏洞报告将被接受。报告者应查阅被测版本文档中“安全注意事项”部分关于每个所提供应用程序的评论。

通过连接器接收的数据，无论协议如何，均被视为不可信，但以下情况除外：

• AJP 连接器标准请求属性以及 allowedRequestAttributesPattern 允许的任何任意请求属性。
• 由 RemoteIpValve、SSLValve、等效过滤器（RemoteIpFilter）或任何类似功能处理的 HTTP 头部。

客户端对其向 Tomcat 呈现的数据的后果负责。如果客户端呈现了一个格式错误的请求，而 Tomcat 根据配置协议的规范对其进行处理，那么对客户端产生的任何安全影响都由客户端自行承担。

集群流量需要可信网络，除非使用 EncryptInterceptor，在这种情况下保密性和完整性将受到保护，但可用性不受保护。

多播集群成员资格始终需要可信网络。

除请求 URI 中包含的任何内容外，默认配置下不会记录安全敏感信息。

修改后的日志配置（特别是启用调试日志记录时）可能会记录安全敏感信息。

默认日志可能包含个人可识别信息 (PII)，例如用户的 IP 地址。

Tomcat 不对应用程序生成的日志消息内容负责。