25 de junio de 2019

Vulnerabilidad de denegación de servicio en Apache Tomcat

Apache ha publicado una corrección para una actualización anterior, incompleta, de la vulnerabilidad con identificador CVE-2019-0199 que podría permitir a un atacante el agotamiento de los hilos y la denegación del servicio (DoS), catalogada de Importancia: 4 - Alta
Recursos afectados:
Apache Tomcat®, versiones:
  1. Desde la 8.5.0 hasta 8.5.40;
  2. Desde la 9.0.0.M1 hasta 9.0.19.
Recomendación
Detalle de vulnerabilidades
Mediante esta actualización se corrige una solución incompleta para el agotamiento de la ventana de conexión HTTP/2 durante la escritura. Al no enviar mensajes WINDOW_UPDATE para la ventana de conexión (stream 0), los clientes podrían hacer que los hilos del lado del servidor se bloquearan, provocando una denegación de servicio. Se ha reservado el identificador CVE-2019-10072 para esta vulnerabilidad.
Más información
Fuente: INCIBE