Investigadores de seguridad han descubierto 2 vulnerabilidades en Apache Tomcat 7, 8, 9 y 10, las mismas han sido identificadas y catalogadas con los CVE-2020-13935 de riesgo alto y CVE-2020-13934de riesgo medio.
Las versiones afectadas son:
- Apache Tomcat desde la versión 7.0.27, hasta la versión 7.0.104;
- Apache Tomcat desde la versión 8.5.0, hasta la versión 8.5.56;
- Apache Tomcat desde la versión 9.0.0.M1, hasta la versión 9.0.36;
- Apache Tomcat desde la versión 10.0.0-M1, hasta la versión 10.0.0-M6.
A continuación, se detallan las vulnerabilidades descubiertas:
El CVE-2020-13935 de riesgo alto, se da debido a que la longitud del payload en un frame del WebSocket (tecnología que proporciona un canal de comunicación bidireccional y full-duplex sobre un único socket TCP) no se valida correctamente, sabiendo esto, un atacante podría enviar un payload de mayor longitud, el cual podría ocasionar un bucle infinito, conduciendo a un ataque de denegación de servicios (DoS). A continuación se puede visualizar la porción de código vulnerable, junto con los cambios hechos en el parche de seguridad:
Finalmente el CVE-2020-13934 de riesgo medio, afecta al componente h2c direct connection (protocolo que permite actualizar una solicitud HTTP/1.1 inicial a una solicitud HTTP/2) y se da debido a que no se libera el procesador HTTP/1.1 luego de actualizar una solicitud a HTTP/2, sabiendo esto, un atacante podría enviar multiples solicitudes HTTP/1.1, las cuales podrían ocasionar una excepción OutOfMemoryException que conduciría a un ataque de denegación de servicios (DoS). A continuación se puede visualizar la porción de código vulnerable, junto con los cambios hechos en el parche de seguridad:
Recomendaciones:
Actualizar Apache Tomcat, a las siguientes versiones:
Referencias:
- http://mail-archives.us.apache.org/mod_mbox/www-announce/202007.mbox/%3C39e4200c-6f4e-b85d-fe4b-a9c2bd5fdc3d%40apache.org%3E
- http://mail-archives.us.apache.org/mod_mbox/www-announce/202007.mbox/%3Cad62f54e-8fd7-e326-25f1-3bdf1ffa3818%40apache.org%3E
- https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-apache-tomcat-0