Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad de denegación de servicio en Apache Tomcat

Fecha de publicación 26/03/2019
Importancia
4 - Alta
Recursos Afectados
  • Apache Tomcat®, versiones:
    • Desde la 8.5.0 hasta la 8.5.37
    • Desde la 9.0.0.M1 hasta la 9.0.14
Descripción

Michal Karm Babacek, de Red Hat, ha descubierto una vulnerabilidad que provoca una condición de denegación de servicio.

Solución
Detalle

  • La implementación de HTTP/2 acepta la apertura consecutiva de un número excesivo de paneles de configuración (SETTINGS) y permite a los clientes mantenerlos abiertos sin leer/escribir datos de solicitud/respuesta. Al mantenerlos abiertos para peticiones que utilizan la API de bloqueo de E/S del Servlet, los clientes pueden provocar que los subprocesos en ejecución del lado del servidor se bloqueen, originando un agotamiento de subprocesos y una condición de denegación de servicio (DoS). Se ha reservado el identificador CVE-2019-0199 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Apache Tomcat 9.x vulnerabilities
Apache Tomcat 8.x vulnerabilities
Etiquetas