Actualitzacions per a Apache Tomcat

22/07/2020
Descobertes dues vulnerabilitats d'alta severitat que permetrien provocar denegacions de servei.

Risc: Alto Alto
Sistemes afectats:
  • La vulnerabilitat identificada com CVE-2020-13934 afecta a les versions següents:
    • des de 10.0.0-M1 a 10.0.0-M6
    • des de 9.0.0.M5 a 9.0.36
    • des de 8.5.1 a 8.5.56
  • La vulnerabilitat identificada com CVE-2020-13935 afecta a les versions següents:
    • des de 10.0.0-M1 a 10.0.0-M6
    • des de 9.0.0.M1 a 9.0.36
    • des de 8.5.0 a 8.5.56
    • des de 7.0.27 a 7.0.104

 

Descripció:

Un atacant podria enviar una quantitat elevada de peticions HTTP que provocarien una denegació de servei a causa d'una excepció del tipus OutOfMemoryException.

A més, l'altra vulnerabilitat detectada podria desencadenar l'execució de bucles infinits que també provocarien una denegació de servei.

De moment no hi ha evidències que aquestes vulnerabilitats hagen sigut explotades, però és convenient corregir-les com més prompte millor.

Referències (CVE):
Solució:

Actualitzar Apache Tomcat a les versions següents, que solucionen totes dues vulnerabilitats:

  • 10.0.0-M7 o posterior
  • 9.0.37 o posterior
  • 8.5.57 o posterior

Les actualitzacions estan disponibles en l’enllaç següenthttps://archive.apache.org/dist/tomcat/

 

Font: ccn-cert