-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Vulnerabilidad de windows update para apache tomcat
- Publicado: 25/06/2019
- Importancia: Alta
- Recursos afectados
En el análisis realizado por el CSIRT Financiero se logra detectar que la corrección para CVE-2019-0199 estaba incompleta y no solucionaba el agotamiento de la ventana de conexión HTTP/2 durante la escritura en Apache Tomcat versiones 9.0.0.M 1 a 9.0.19 y 8.5.0 a 8.5.40.
Al no enviar los mensajes WINDOWS_UPDATE a la ventana de conexión (stream 0), se podrían bloquear las hebras del lado del servidor, lo que terminaría en el agotamiento de las hebras y en una denegación de servicio. El ataque podría ser realizado a través de la red y de forma remota. Además, la explotación no requiere ninguna forma de autentificación.
Con base en lo anterior se realiza una nueva actualización CVE-2019-10072 que corrige la vulnerabilidad DoS.
Versiones afectadas:
Apache Tomcat desde la 8.5.0 hasta 8.5.40.
Apache Tomcat desde la 9.0.0.M1 hasta 9.0.19.
- Etiquetas