Vulnerabilidad de denegación de servicio en Apache Tomcat

Fecha de publicación: 26/03/2019

Importancia:
Alta

Recursos afectados:

  • Apache Tomcat®, versiones:
    • Desde la 8.5.0 hasta la 8.5.37
    • Desde la 9.0.0.M1 hasta la 9.0.14

Descripción:

Michal Karm Babacek, de Red Hat, ha descubierto una vulnerabilidad que provoca una condición de denegación de servicio.

Solución:

Detalle:

  • La implementación de HTTP/2 acepta la apertura consecutiva de un número excesivo de paneles de configuración (SETTINGS) y permite a los clientes mantenerlos abiertos sin leer/escribir datos de solicitud/respuesta. Al mantenerlos abiertos para peticiones que utilizan la API de bloqueo de E/S del Servlet, los clientes pueden provocar que los subprocesos en ejecución del lado del servidor se bloqueen, originando un agotamiento de subprocesos y una condición de denegación de servicio (DoS). Se ha reservado el identificador CVE-2019-0199 para esta vulnerabilidad.

Encuesta valoración

Etiquetas:
Actualización, Apache, Vulnerabilidad

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.