Cabecera-v2-web.jpg

Solucionadas tres vulnerabilidades en servidores Apache Tomcat


La Apache Software Foundation ha corregido tres vulnerabilidades importantes que afectan a las ramas 6, 7, 8 y 9 de Apache Tomcat, y que podrí­an permitir a atacantes provocar condiciones de denegación de servicio o la obtención de información sensible.

Apache Tomcat es un servidor web que funciona como contenedor de servlets, desarrollado en código abierto por Apache Software Foundation. Tomcat implementa las especificaciones de las tecnologí­as servlets Java y de páginas JSP.

La primera vulnerabilidad, calificada como "importante", reside en un fallo en el tratamiento de peticiones entubadas que podrí­a permitir la obtención de información sensible (CVE-2017-5647). Afecta a las versiones 6.0.0 a 6.0.52, 7.0.0 a 7.0.76, 8.0.0.RC1 a 8.0.42, 8.5.0 a 8.5.12 y 9.0.0.M1 a 9.0.0.M18.

Por otra parte, con CVE-2017-5651, la refactorización de los conectores HTTP para versiones 8.5.x en adelante introdujo una regresión en el tratamiento del enví­o de archivos cuando se completa rápidamente. Afecta a versiones 8.5.0 a 8.5.12 y 9.0.0.M1 a 9.0.0.M18

Por último, con CVE-2017-5650, el tratamiento de un frame HTTP/2 GOAWAY para una conexión no cierra los flujos asociados con esa conexión que estaban esperando un WINDOW_UPDATE antes de permitir que la aplicación escriba más datos. Un cliente malicioso podrí­a construir una serie de peticiones HTTP/2 que consuman todos los hilos disponibles. Afecta a versiones 9.0.0.M1 a 9.0.0.M18 y 8.5.0 a 8.5.12.

El fabricante recomienda a los usuarios que actualicen a las versiones 9.0.0.M19, 8.0.43, 8.5.13, 7.0.77 o 6.0.53, disponibles desde:


Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11