CSIRT Panamá Aviso 2018-10-05 Actualización de seguridad para Apache Tomcat
Gravedad: Moderada
Fecha de publicación: 05 octubre 2018
Fecha de modificación: 05 octubre 2018
Última revisión: Revisión A.
Fuente: Apache Software Foundation
Sistemas Afectados
• Apache Tomcat 9.0.0.M1 a 9.0.11.
• Apache Tomcat 8.5.0 a 8.5.33.
• Apache Tomcat 7.0.23 a 7.0.90.
• Las versiones 8.0.X no han sido revisadas pero muy probablemente están afectadas.
I. Descripción
Apache Software Foundation ha publicado un aviso sobre una vulnerabilidad que afecta algunas versiones de Apache Tomcat, permitiendo a un usuario a través de una URL modificada tener acceso a cualquier URI.
Para mitigar esta vulnerabilidad se deben realizar actualizaciones a las versiones:
– Apache Tomcat 9.0.12 o superior.
– Apache Tomcat 8.5.34 o superior.
– Apache Tomcat 7.0.91 o superior.
– Asegurar que las redirecciones sean realizadas por “Mapper” en vez del Servlet predeterminado.
Para mayor información, referirse a la “sección III. Referencia a soluciones, herramientas e información”.
II. Impacto
Complejidad de Acceso: Alta.
Autenticación: No requerida para explotarla.
Tipo de impacto: Compromiso parcial del sistema.
III. Referencia a soluciones, herramientas e información
a. https://apache.org
b. http://mail-archives.us.apache.org/mod_mbox/www-announce/201810.mbox/<4cf697b0-db03-9eab-f2aa-54c2026d0e88@apache.org>
IV. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-mail: info@cert.pa
Web: http://www.cert.pa