Vulnerabilidad en Apache Tomcat (CVE-2024-23672)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/03/2024
Última modificación:
13/02/2025
Descripción
Denegación de servicio mediante vulnerabilidad de limpieza incompleta en Apache Tomcat. Los clientes de WebSocket podían mantener abiertas las conexiones de WebSocket, lo que generaba un mayor consumo de recursos. Este problema afecta a Apache Tomcat: desde 11.0.0-M1 hasta 11.0.0-M16, desde 10.1.0-M1 hasta 10.1.18, desde 9.0. 0-M1 hasta 9.0.85, desde 8.5.0 hasta 8.5.98. Se recomienda a los usuarios actualizar a la versión 11.0.0-M17, 10.1.19, 9.0.86 u 8.5.99, que solucionan el problema.
Impacto
Puntuación base 3.x
6.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2024/03/13/4
- https://lists.apache.org/thread/cmpswfx6tj4s7x0nxxosvfqs11lvdx2f
- https://lists.debian.org/debian-lts-announce/2024/04/msg00001.html
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3UWIS5MMGYDZBLJYT674ZI5AWFHDZ46B/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/736G4GPZWS2DSQO5WKXO3G6OMZKFEK55/
- https://security.netapp.com/advisory/ntap-20240402-0002/
- http://www.openwall.com/lists/oss-security/2024/03/13/4
- https://lists.apache.org/thread/cmpswfx6tj4s7x0nxxosvfqs11lvdx2f
- https://lists.debian.org/debian-lts-announce/2024/04/msg00001.html
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3UWIS5MMGYDZBLJYT674ZI5AWFHDZ46B/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/736G4GPZWS2DSQO5WKXO3G6OMZKFEK55/
- https://security.netapp.com/advisory/ntap-20240402-0002/