Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad de denegación de servicio en Apache Tomcat

Vulnerabilidad de denegación de servicio en Apache Tomcat

Fecha de publicación: 
26/03/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • Apache Tomcat®, versiones:
    • Desde la 8.5.0 hasta la 8.5.37
    • Desde la 9.0.0.M1 hasta la 9.0.14
Descripción: 

Michal Karm Babacek, de Red Hat, ha descubierto una vulnerabilidad que provoca una condición de denegación de servicio.

Solución: 
Detalle: 
  • La implementación de HTTP/2 acepta la apertura consecutiva de un número excesivo de paneles de configuración (SETTINGS) y permite a los clientes mantenerlos abiertos sin leer/escribir datos de solicitud/respuesta. Al mantenerlos abiertos para peticiones que utilizan la API de bloqueo de E/S del Servlet, los clientes pueden provocar que los subprocesos en ejecución del lado del servidor se bloqueen, originando un agotamiento de subprocesos y una condición de denegación de servicio (DoS). Se ha reservado el identificador CVE-2019-0199 para esta vulnerabilidad.

Encuesta valoración