Apache Software
Foundation ha publicado una actualización de seguridad que corrige varias
vulnerabilidades que podrían permitir a un atacante remoto efectuar
denegaciones de servicio en el servidor Apache Tomcat u obtener información
confidencial del mismo, catalogadas de Importancia:
4 - Alta
Recursos afectados:
Apache Tomcat versión
9.0.0.M9 to 9.0.9
Apache Tomcat versión
8.5.0 to 8.5.31
Apache Tomcat versión
8.0.0.RC1 to 8.0.51
Apache Tomcat versión
7.0.28 to 7.0.86
Recomendación
- Se recomienda
actualizar a las últimas versiones disponibles 9.0.10, 8.5.32, 8.0.52 y
7.0.90.
Detalle de vulnerabilidades
Las vulnerabilidades
descubiertas incluyen un incorrecto manejo en la descodificación UTF-8 con
caracteres suplementarios, algo que puede provocar un bucle infinito en el
decodificador, lo que a su vez podría provocar una denegación de servicio. Se
ha asignado el identificador CVE-2018-1336 para esta vulnerabilidad.
Además la otra
vulnerabilidad descubierta podría permitir la reutilización de sesiones de
usuario, al existir un error en el seguimiento de cierres de conexión
existentes. Se ha asignado el identificador CVE-2018-8037 para esta
vulnerabilidad.
Más información
·
CVE-2018-8037
Apache Tomcat - Information Disclosure http://mail-archives.us.apache.org/mod_mbox/www-announce/201807.mbox/%3C20180722090623.GA92700%40minotaur.apache.org%3E
·
CVE-2018-1336
Apache Tomcat - Denial of Service http://mail-archives.us.apache.org/mod_mbox/www-announce/201807.mbox/%3C20180722090435.GA60759%40minotaur.apache.org%3E
Fuente: INCIBE