Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Zerbitzuaren ukapen erako ahultasuna Apache Tomcat-en

Argitalpen data: 2019/03/26

Garrantzia: Handia

Kaltetutako baliabideak:

  • Apache Tomcat®, honako bertsioak: 
    • 8.5.0tik 8.5.37ra bitartekoak
    • 9.0.0.M1etik 9.0.14ra bitartekoak

Azalpena:

Red Hat-eko Michal Karm Babacek-ek zerbitzuaren ukapen egoera eragiten duen ahultasun bat aurkitu du.

Konponbidea:

Xehetasuna:

  • HTTP/2ren inplementazioak konfigurazio panel (SETTINGS) kopuru gehiegizko baten hurrenez hurreneko irekiera ahalbidetzen du, eta bezeroei ahalbidetzen die horiek zabalik izatea eskaera/erantzuneko datuak irakurri/idatzi gabe. Servlet-en E/Sren blokeatze APIa erabiltzen duten eskaeretarako zabalik mantentzean, bezeroek eragin dezakete zerbitzariaren aldean exekutatzen ari diren azpi-prozesuak blokeatzea, azpi-prozesuen agortze eta zerbitzuaren ukapen egoera (DoS) gertatuz. Ahultasun horretarako CVE-2019-0199 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Apache, Ahultasuna