Denegación de servicio en Apache Tomcat
Fecha de publicación 15/10/2021
Importancia
5 - Crítica
Recursos Afectados
Apache Tomcat, versiones:
- desde la 8.5.60, hasta la 8.5.71;
- desde la 9.0.40, hasta la 9.0.53;
- desde la 10.0.0-M10, hasta la 10.0.11;
- desde la 10.1.0-M1, hasta la 10.1.0-M5.
Descripción
Las versiones 8, 9 y 10 de Apache Tomcat están afectadas por 1 vulnerabilidad crítica de tipo denegación de servicio (DoS) en WebSocket.
Solución
Actualizar a las versiones:
- 8.5.72;
- 9.0.54;
- 10.0.12;
- 10.1.0-M6.
Detalle
La corrección del error 63362 introducía una fuga de memoria. El objeto introducido para recoger las métricas de las conexiones de actualización HTTP no se liberaba para las conexiones WebSocket, una vez que se cerraba dicha conexión. Esto creaba una fuga de memoria que podría provocar una denegación de servicio a través de un OutOfMemoryError. Se ha asignado el identificador CVE-2021-42340 para esta vulnerabilidad.
Listado de referencias
Etiquetas