Gravedad: Crítica
Vulnerabilidad: CVE-2020-11996
Fecha de publicación: Junio 26, 2020
Última revisión: Junio 26, 2020
Portal: http://tomcat.apache.org/
Sistemas Afectados: Vulnerabilidades en la plataforma de Apache Tomcat, versiones:
desde la 8.5.0 hasta la 8.5.55
desde la 9.0.0.M1 hasta la 9.0.35
desde la 10.0.0-M1 hasta la 10.0.0-M5
I.Descripción
Las versiones 8, 9 y 10 de Apache Tomcat están afectadas por una vulnerabilidad de denegación de servicio (DoS) que afecta al protocolo HTTP/2.
II.Impacto
Una secuencia, especialmente diseñada, de solicitudes HTTP/2 podría desencadenar un uso elevado de la CPU durante varios segundos. Si se realizará una cantidad suficiente de dichas solicitudes en conexiones HTTP/2 concurrentes, el servidor podría dejar de responder. Se ha reservado el identificador CVE-2020-11996 para esta vulnerabilidad.
III. Referencia a soluciones, herramientas e información
Aplicar la actualización a las nuevas versiones:
Apache Tomcat 8.5.56
Enlace:http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.56
Apache Tomcat 9.0.36
Enlace:http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.36
Apache Tomcat 10.0.0-M6
Enlace:http://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M6
Fuentes:
Instituto Nacional de Ciberseguridad (INCIBE). 26 de junio del 2020. Vulnerabilidades. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/denegacion-servicio-http2-afecta-varias-versiones-apache-tomcat
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124