遠端主機上安裝的 Tomcat 是 9.0.0-M1 版或 9.0.0-M1 至 9.0.68 之間的版本。因此，它受到 fixed_in_apache_tomcat_9.0.68_security-9 公告中提及的要求走私弱點影響。如果將 rejectIllegalHeader 設定為 false (非預設值)，以此將 Tomcat 設定為忽略無效的 HTTP 標頭，則 Tomcat 不會拒絕含有無效 Content-Length 標頭的要求，若 Tomcat 前面的反向 Proxy 也不會拒絕含有無效標頭的要求，就可能遭受要求走私攻擊。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

Apache Tomcat 9.0.0-M1 < 9.0.68 要求走私弱點

high Nessus Plugin ID 166906

版本 1.3