• +54 (011) 4323-9362
  • |
  • de Lun a Vie de 9 a 17 hs
  • |
  • ciberseguridad@ba-csirt.gob.ar

############################
|A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
############################

Vulnerabilidad de denegación de servicio en Apache Tomcat

24/06/2019

=============================================
CVE-2019-10072
Fecha de lanzamiento: 21/06/2019
Gravedad: Alta
=============================================

VULNERABILIDAD

Apache ha publicado una corrección para una actualización anterior, incompleta, que podría permitir a un atacante el agotamiento de los hilos y la denegación del servicio (DoS).

INFORMACIÓN

Apache Tomcat (también llamado Jakarta Tomcat o simplemente Tomcat) funciona como un contenedor de servlets desarrollado bajo el proyecto Jakarta en la Apache Software Foundation. Tomcat implementa las especificaciones de los servlets y de JavaServer Pages (JSP) de Oracle Corporation (aunque creado por Sun Microsystems)

DESCRIPCIÓN

Mediante esta actualización se corrige una solución incompleta para el agotamiento de la ventana de conexión HTTP/2 durante la escritura. Al no enviar mensajes WINDOW_UPDATE para la ventana de conexión (stream 0), los clientes podrían hacer que los hilos del lado del servidor se bloquearan, provocando una denegación de servicio. Se ha reservado el identificador CVE-2019-10072 para esta vulnerabilidad.

SISTEMAS AFECTADOS

Apache Tomcat®, versiones:

- Desde la 8.5.0 hasta 8.5.40
- Desde la 9.0.0.M1 hasta 9.0.19

SOLUCIÓN

- Actualizar a la versión 8.5.41 o superior.
- Actualizar a la versión 9.0.20 o superior.

FUENTE

https://www.incibe-cert.es/