Solucionadas tres vulnerabilidades en servidores Apache Tomcat
La Apache Software Foundation ha corregido tres vulnerabilidades importantes que afectan a las ramas 6, 7, 8 y 9 de Apache Tomcat, y que podrían permitir a atacantes provocar condiciones de denegación de servicio o la obtención de información sensible.
Apache Tomcat es un servidor web que funciona como contenedor de servlets, desarrollado en código abierto por Apache Software Foundation. Tomcat implementa las especificaciones de las tecnologías servlets Java y de páginas JSP.
La primera vulnerabilidad, calificada como "importante", reside en un fallo en el tratamiento de peticiones entubadas que podría permitir la obtención de información sensible (CVE-2017-5647). Afecta a las versiones 6.0.0 a 6.0.52, 7.0.0 a 7.0.76, 8.0.0.RC1 a 8.0.42, 8.5.0 a 8.5.12 y 9.0.0.M1 a 9.0.0.M18.
Por otra parte, con CVE-2017-5651, la refactorización de los conectores HTTP para versiones 8.5.x en adelante introdujo una regresión en el tratamiento del envío de archivos cuando se completa rápidamente. Afecta a versiones 8.5.0 a 8.5.12 y 9.0.0.M1 a 9.0.0.M18.
Por último, con CVE-2017-5650, el tratamiento de un frame HTTP/2 GOAWAY para una conexión no cierra los flujos asociados con esa conexión que estaban esperando un WINDOW_UPDATE antes de permitir que la aplicación escriba más datos. Un cliente malicioso podría construir una serie de peticiones HTTP/2 que consuman todos los hilos disponibles. Afecta a versiones 9.0.0.M1 a 9.0.0.M18 y 8.5.0 a 8.5.12.
El fabricante recomienda a los usuarios que actualicen a las versiones 9.0.0.M19, 8.0.43, 8.5.13, 7.0.77 o 6.0.53, disponibles desde:
Más información:
Fixed in Apache Tomcat 9.0.0.M19
Fixed in Apache Tomcat 8.0.43
Fixed in Apache Tomcat 8.5.13
Fixed in Apache Tomcat 7.0.77
Fixed in Apache Tomcat 6.0.53
Antonio Ropero
Twitter: @aropero
Via: unaaldia.hispasec.com
Solucionadas tres vulnerabilidades en servidores Apache Tomcat
Reviewed by Zion3R
on
17:20
Rating:
Reviewed by Zion3R
on
17:20
Rating:
