Vulnerabilidad de denegación de servicio en Apache Tomcat
Fecha de publicación: 26/03/2019
Importancia:
Alta
Recursos afectados:
- Apache Tomcat®, versiones:
- Desde la 8.5.0 hasta la 8.5.37
- Desde la 9.0.0.M1 hasta la 9.0.14
Descripción:
Michal Karm Babacek, de Red Hat, ha descubierto una vulnerabilidad que provoca una condición de denegación de servicio.
Solución:
- Actualizar a la versión 8.5.38 o superior.
- Actualizar a la versión 9.0.16 o superior.
Detalle:
-
La implementación de HTTP/2 acepta la apertura consecutiva de un número excesivo de paneles de configuración (SETTINGS) y permite a los clientes mantenerlos abiertos sin leer/escribir datos de solicitud/respuesta. Al mantenerlos abiertos para peticiones que utilizan la API de bloqueo de E/S del Servlet, los clientes pueden provocar que los subprocesos en ejecución del lado del servidor se bloqueen, originando un agotamiento de subprocesos y una condición de denegación de servicio (DoS). Se ha reservado el identificador CVE-2019-0199 para esta vulnerabilidad.
Etiquetas:
Actualización, Apache, Vulnerabilidad
Powered by WPeMatico
