Recursos afectados:
- Apache Tomcat®, versiones:
- Desde la 8.5.0 hasta la 8.5.37
- Desde la 9.0.0.M1 hasta la 9.0.14
·
Actualizar
a la versión 8.5.38 o
superior.
·
Actualizar
a la versión 9.0.16 o
superior.
Detalle de
vulnerabilidades
La implementación de HTTP/2 acepta la apertura
consecutiva de un número excesivo de paneles de configuración (SETTINGS) y
permite a los clientes mantenerlos abiertos sin leer/escribir datos de
solicitud/respuesta. Al mantenerlos abiertos para peticiones que utilizan la
API de bloqueo de E/S del Servlet, los clientes pueden provocar que los
subprocesos en ejecución del lado del servidor se bloqueen, originando un agotamiento
de subprocesos y una condición de denegación de servicio (DoS). Se ha reservado
el identificador CVE-2019-0199 para esta vulnerabilidad.
Más información