Vulnerabilidad en la documentación de Apache Tomcat (CVE-2022-29885)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
12/05/2022
Última modificación:
06/04/2023
Descripción
La documentación de Apache Tomcat versiones 10.1.0-M1 a 10.1.0-M14, 10.0.0-M1 a 10.0.20, 9.0.13 a 9.0.62 y 8.5.38 a 8.5.78, para el EncryptInterceptor indicaba incorrectamente que permitía que el clustering de Tomcat fuera ejecutado sobre una red no confiable. Esto no es correcto. Mientras que el EncryptInterceptor proporciona confidencialidad y protección de la integridad, no protege contra todos los riesgos asociados con la ejecución de cualquier red no confiable, particularmente los riesgos de DoS
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* | 8.5.38 (incluyendo) | 8.5.78 (incluyendo) |
cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* | 9.0.13 (incluyendo) | 9.0.62 (incluyendo) |
cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* | 10.0.0 (incluyendo) | 10.0.20 (incluyendo) |
cpe:2.3:a:apache:tomcat:10.1.0:milestone1:*:*:*:*:*:* | ||
cpe:2.3:a:apache:tomcat:10.1.0:milestone10:*:*:*:*:*:* | ||
cpe:2.3:a:apache:tomcat:10.1.0:milestone11:*:*:*:*:*:* | ||
cpe:2.3:a:apache:tomcat:10.1.0:milestone12:*:*:*:*:*:* | ||
cpe:2.3:a:apache:tomcat:10.1.0:milestone13:*:*:*:*:*:* | ||
cpe:2.3:a:apache:tomcat:10.1.0:milestone14:*:*:*:*:*:* | ||
cpe:2.3:a:apache:tomcat:10.1.0:milestone2:*:*:*:*:*:* | ||
cpe:2.3:a:apache:tomcat:10.1.0:milestone3:*:*:*:*:*:* | ||
cpe:2.3:a:apache:tomcat:10.1.0:milestone4:*:*:*:*:*:* | ||
cpe:2.3:a:apache:tomcat:10.1.0:milestone5:*:*:*:*:*:* | ||
cpe:2.3:a:apache:tomcat:10.1.0:milestone6:*:*:*:*:*:* | ||
cpe:2.3:a:apache:tomcat:10.1.0:milestone7:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/171728/Apache-Tomcat-10.1-Denial-Of-Service.html
- https://lists.apache.org/thread/2b4qmhbcyqvc7dyfpjyx54c03x65vhcv
- https://lists.debian.org/debian-lts-announce/2022/10/msg00029.html
- https://security.netapp.com/advisory/ntap-20220629-0002/
- https://www.debian.org/security/2022/dsa-5265
- https://www.oracle.com/security-alerts/cpujul2022.html