Home / Node / Denegación de servicio en Apache Tomcat

Denegación de servicio en Apache Tomcat

Publication date: 
10/15/2021
Importance: 
5 - Crítica
Affected resources: 

Apache Tomcat, versiones:

  • desde la 8.5.60, hasta la 8.5.71;
  • desde la 9.0.40, hasta la 9.0.53;
  • desde la 10.0.0-M10, hasta la 10.0.11;
  • desde la 10.1.0-M1, hasta la 10.1.0-M5.
Description: 

Las versiones 8, 9 y 10 de Apache Tomcat están afectadas por 1 vulnerabilidad crítica de tipo denegación de servicio (DoS) en WebSocket.

Solution: 

Actualizar a las versiones:

  • 8.5.72;
  • 9.0.54;
  • 10.0.12;
  • 10.1.0-M6.
Detail: 

La corrección del error 63362 introducía una fuga de memoria. El objeto introducido para recoger las métricas de las conexiones de actualización HTTP no se liberaba para las conexiones WebSocket, una vez que se cerraba dicha conexión. Esto creaba una fuga de memoria que podría provocar una denegación de servicio a través de un OutOfMemoryError. Se ha asignado el identificador CVE-2021-42340 para esta vulnerabilidad.

Encuesta valoración