Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad de denegación de servicio en Apache Tomcat

Fecha de publicación 21/06/2019
Importancia
4 - Alta
Recursos Afectados
  • Apache Tomcat®, versiones:
    • Desde la 8.5.0 hasta 8.5.40;
    • Desde la 9.0.0.M1 hasta 9.0.19.
Descripción

Apache ha publicado una corrección para una actualización anterior, incompleta, de la vulnerabilidad con identificador CVE-2019-0199 que podría permitir a un atacante el agotamiento de los hilos y la denegación del servicio (DoS).

Solución
Detalle
  • Mediante esta actualización se corrige una solución incompleta para el agotamiento de la ventana de conexión HTTP/2 durante la escritura. Al no enviar mensajes WINDOW_UPDATE para la ventana de conexión (stream 0), los clientes podrían hacer que los hilos del lado del servidor se bloquearan, provocando una denegación de servicio. Se ha reservado el identificador CVE-2019-10072 para esta vulnerabilidad.

Encuesta valoración