Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad en Apache Tomcat y Commons FileUpload

Vulnerabilidad en Apache Tomcat y Commons FileUpload

Fecha de publicación: 
17/02/2014
Importancia: 
5 - Crítica
Recursos afectados: 
  • Commons FileUpload 1.0 a 1.3.
  • Apache Tomcat 8.0.0-RC1 a 8.0.1.
  • Apache Tomcat 7.0.0 a 7.0.50.
Descripción: 

Mark Thomas, de Apache Tomcat project, ha informado de una vulnerabilidad filtrada accidentalmente que permite efectuar ataques de denegación de servicio en sitios y servicios web basados en Tomcat.

Solución: 

Los usuarios de las versiones afectadas deberían aplicar una de las siguientes medidas:

Detalle: 

Es posible crear una cabecera de tipo Content-Type para una petición multipart que cause la entrada en un bucle infinito de Apache Commons FileUpload. Un usuario malicioso podría, por lo tanto, crear una petición manipulada que provocase denegación de servicio.

Este problema fue reportado responsablemente a la Apache Software Foundation a través de JPCERT, pero un error en el envío de un e-mail provocó una revelación no intencionada de esta vulnerabilidad (CVE-2014-0050) antes de tiempo.