Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad de denegación de servicio en Apache Tomcat

Vulnerabilidad de denegación de servicio en Apache Tomcat

Fecha de publicación: 
21/06/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • Apache Tomcat®, versiones:
    • Desde la 8.5.0 hasta 8.5.40;
    • Desde la 9.0.0.M1 hasta 9.0.19.
Descripción: 

Apache ha publicado una corrección para una actualización anterior, incompleta, de la vulnerabilidad con identificador CVE-2019-0199 que podría permitir a un atacante el agotamiento de los hilos y la denegación del servicio (DoS).

Solución: 
Detalle: 
  • Mediante esta actualización se corrige una solución incompleta para el agotamiento de la ventana de conexión HTTP/2 durante la escritura. Al no enviar mensajes WINDOW_UPDATE para la ventana de conexión (stream 0), los clientes podrían hacer que los hilos del lado del servidor se bloquearan, provocando una denegación de servicio. Se ha reservado el identificador CVE-2019-10072 para esta vulnerabilidad.

Encuesta valoración