Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Fecha de publicación: 26/06/2020

Importancia: Crítica

Recursos afectados:

Apache Tomcat, versiones:

• desde la 8.5.0 hasta la 8.5.55;
• desde la 9.0.0.M1 hasta la 9.0.35;
• desde la 10.0.0-M1 hasta la 10.0.0-M5.

Descripción:

Las versiones 8, 9 y 10 de Apache Tomcat están afectadas por una vulnerabilidad de denegación de servicio (DoS) que afecta al protocolo HTTP/2.

Solución:

Actualizar a las versiones:

• 8.5.56;
• 9.0.36;
• 10.0.0-M6.

Detalle:

Una secuencia, especialmente diseñada, de solicitudes HTTP/2 podría desencadenar un uso elevado de la CPU durante varios segundos. Si se realizara una cantidad suficiente de dichas solicitudes en conexiones HTTP/2 concurrentes, el servidor podría dejar de responder. Se ha reservado el identificador CVE-2020-11996 para esta vulnerabilidad.

Etiquetas: Actualización, Apache, Vulnerabilidad