Suite à la publication d'une faille de sécurité découverte dans les versions 6.x à 9.x de Tomcat (toutes les informations ici), nous recommandons aux utilisateurs du serveur d’exécution Squash TF de modifier la configuration de Tomcat pour désactiver le protocole AJP (actif par défaut sur le port 8009).
Le mode opératoire consiste à modifier, dans le répertoire d’installation de votre serveur d’exécution, le fichier de configuration apache-tomcat-8.5.16/conf/server.xml pour commenter l'élément XML suivant :
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
Il est donc conseillé à tous les utilisateurs qui n’ont pas besoin du protocole AJP d’enlever le connecteur correspondant dans leur configuration sans pour autant avoir à réinstaller le serveur d’exécution.
Pour tous les utilisateurs qui créent une nouvelle instance de serveur d’exécution, nous publions une nouvelle version de Squash TF Execution Server (la 2.3.1-RELEASE), dans laquelle le protocole AJP est désactivé par défaut. La release note de cette version est disponible ici : https://squash-tf.readthedocs.io/en/latest/_downloads/febd9bd45e2ea6121a08c476850d483f/squash-tf-execution-server-2.3.1_fr.md
Pour les clients qui ont effectivement besoin de ce protocole, nous avons également l'intention de procéder, dès que possible, à une montée de version du serveur Tomcat embarqué vers une version qui corrige la faille.