Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

HTTP/2-ko zerbitzuaren ukapenak Apache Tomcat-en hainbat bertsiori eragiten die

Argitalpen data: 2020/06/26

Garrantzia: Kritikoa

Kaltetutako baliabideak:

Apache Tomcat, honako bertsioak:

  • 8.5.0 bertsiotik 8.5.55 bertsiora bitartekoak;
  • 9.0.0.M1 bertsiotik 9.0.35 bertsiora bitartekoak;
  • 10.0.0-M1 bertsiotik 10.0.0-M5 bertsiora bitartekoak.

Azalpena:

Apache Tomcat-en 8, 9 eta 10 bertsioek zerbitzuaren ukapen (DoS) erako ahultasun bat daukate, HTTP/2 protokoloari eragiten diona.

Konponbidea:

Honako bertsioetara eguneratzea:

  • 8.5.56;
  • 9.0.36;
  • 10.0.0-M6.

Xehetasuna:

Bereziki diseinatutako HTTP/2-ren eskaeren sekuentzia batek CPUaren erabilpen altu bat eragin lezake hainbat segundoz. Horrelako eskaeren kopuru aski bat egingo balitz HTTP/2 konexio konkurrenteetan, gerta liteke zerbitzariak erantzuteari uztea. Ahultasun horretarako CVE-2020-11996 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Apache, Ahultasuna