CSIRT Panamá Aviso 2020-07-6 Apache: Actualización de seguridad de Apache.

TOPICS:

Posted By: CSIRT Panamá July 6, 2020

CSIRT Panamá Aviso 2020-07-6 Apache: Actualización de seguridad de Apache.

Gravedad: Media                                                                                                       

Vulnerabilidad: CVE-2020-11996 / CVE-2020-9494

Fecha de publicación: Julio 6, 2020
Última revisión: Julio 6, 2020
Portal: https://apache.org

Sistemas Afectados: Diversos productos afectados.

  1. Descripción

Vulnerabilidades en la plataforma Apache referente a dos vulnerabilidades que afectan a Apache Tomcat y Apache Traffic Server.

  1. Impacto

Vulnerabilidad: CVE-2020-11996

Utilizando peticiones HTTP/2 especialmente diseñadas, es posible elevar el uso de la CPU por unos cuantos segundos. Si se envían suficientes peticiones al sistema afectado, es posible causar una denegación de servicios.

Los Productos Afectados son:

  • Apache Tomcat entre las versiones 10.0.0-M1 y 10.0.0-M5.
  • Apache Tomcat entre las versiones 9.0.0.M1 y 9.0.35.
  • Apache Tomcat entre las versiones 8.5.0 y 8.5.55.

Vulnerabilidad: CVE-2020-9494

Apache Traffic Server es vulnerable a ciertos tipos de marcos de cabeceras HTTP/2, que podrían hacer que el servidor asigne una gran cantidad de memoria y haga girar el hilo.

Los Productos Afectados son:

  • Apache Traffic Server entre las versiones 6.0.0 y 6.2.3.
  • Apache Traffic Server entre las versiones 7.0.0 y 7.1.10.
  • Apache Traffic Server entre las versiones 8.0.0 y 8.0.7.

III. Referencia a soluciones, herramientas e información

De acuerdo a las vulnerabilidades, mediante su sitio oficial (https://projects.apache.org/releases.html) debes actualizar los productos a las siguientes versiones.

Vulnerabilidad: CVE-2020-11996

Actualizar a la versión 10.0.0-M6, 9.0.36 o 8.5.56 (o superiores).

Vulnerabilidad: CVE-2020-9494

  • Para usuarios con la versión 6.x, actualizar a la 7.1.11, 8.0.8 o superior.
  • Para usuarios con la versión 7.x, actualizar a la 7.1.11 o superior.
  • Para usuarios con la versión 8.x, actualizar a la 8.0.8 o superior.

Fuentes:

  • Common Vulnerabilities and Exposures (CVE). Recopilado en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11996
  • Common Vulnerabilities and Exposures (CVE). Recopilado en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9494
  • CSIRT Chile. 3 de julio del 2020. Vulnerabilidades. Recopilado en: https://www.csirt.gob.cl/vulnerabilidades/9vsa20-00259-01/

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124