Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Denegación de servicio en HTTP/2 afecta a varias versiones de Apache Tomcat

Fecha de publicación 26/06/2020
Importancia
5 - Crítica
Recursos Afectados

Apache Tomcat, versiones:

  • desde la 8.5.0 hasta la 8.5.55;
  • desde la 9.0.0.M1 hasta la 9.0.35;
  • desde la 10.0.0-M1 hasta la 10.0.0-M5.
Descripción

Las versiones 8, 9 y 10 de Apache Tomcat están afectadas por una vulnerabilidad de denegación de servicio (DoS) que afecta al protocolo HTTP/2.

Solución

Actualizar a las versiones:

  • 8.5.56;
  • 9.0.36;
  • 10.0.0-M6.
Detalle

Una secuencia, especialmente diseñada, de solicitudes HTTP/2 podría desencadenar un uso elevado de la CPU durante varios segundos. Si se realizara una cantidad suficiente de dichas solicitudes en conexiones HTTP/2 concurrentes, el servidor podría dejar de responder. Se ha reservado el identificador CVE-2020-11996 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Fixed in Apache Tomcat 8.5.56
Fixed in Apache Tomcat 9.0.36
Fixed in Apache Tomcat 10.0.0-M6
Etiquetas