Vulnerabilidad en servlet Apache Tomcat y en el motor JSP (CVE-2017-6056)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
17/02/2017
Última modificación:
20/04/2025
Descripción
Se descubrió que un error de programación en el procesamiento de solicitudes HTTPS en el servlet Apache Tomcat y en el motor JSP puede dar como resultado la denegación de servicio a través de un bucle infinito. La denegación de servicio es fácilmente alcanzable como consecuencia de backporting una corrección CVE-2016-6816 pero no backporting la corrección para el error 57544 de Tomcat. Las distribuciones afectadas por este problema de backporting incluyen Debian (en versiones anteriores a 7.0.56-3+deb8u8 y 8.0.14-1+deb8u7 en jessie) y Ubuntu.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://rhn.redhat.com/errata/RHSA-2017-0517.html
- http://rhn.redhat.com/errata/RHSA-2017-0826.html
- http://rhn.redhat.com/errata/RHSA-2017-0827.html
- http://rhn.redhat.com/errata/RHSA-2017-0828.html
- http://rhn.redhat.com/errata/RHSA-2017-0829.html
- http://www.debian.org/security/2017/dsa-3787
- http://www.debian.org/security/2017/dsa-3788
- http://www.securityfocus.com/bid/96293
- http://www.securitytracker.com/id/1037860
- https://bugs.debian.org/851304
- https://bz.apache.org/bugzilla/show_bug.cgi?id=60578
- https://lists.apache.org/thread.html/6b414817c2b0bf351138911c8c922ec5dd577ebc0b9a7f42d705752d%40%3Cissues.activemq.apache.org%3E
- https://lists.apache.org/thread.html/ac51944aef91dd5006b8510b0bef337adaccfe962fb90e7af9c22db4%40%3Cissues.activemq.apache.org%3E
- https://lists.debian.org/debian-security-announce/2017/msg00038.html
- https://lists.debian.org/debian-security-announce/2017/msg00039.html
- https://security.netapp.com/advisory/ntap-20180731-0002/
- https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
- http://rhn.redhat.com/errata/RHSA-2017-0517.html
- http://rhn.redhat.com/errata/RHSA-2017-0826.html
- http://rhn.redhat.com/errata/RHSA-2017-0827.html
- http://rhn.redhat.com/errata/RHSA-2017-0828.html
- http://rhn.redhat.com/errata/RHSA-2017-0829.html
- http://www.debian.org/security/2017/dsa-3787
- http://www.debian.org/security/2017/dsa-3788
- http://www.securityfocus.com/bid/96293
- http://www.securitytracker.com/id/1037860
- https://bugs.debian.org/851304
- https://bz.apache.org/bugzilla/show_bug.cgi?id=60578
- https://lists.apache.org/thread.html/6b414817c2b0bf351138911c8c922ec5dd577ebc0b9a7f42d705752d%40%3Cissues.activemq.apache.org%3E
- https://lists.apache.org/thread.html/ac51944aef91dd5006b8510b0bef337adaccfe962fb90e7af9c22db4%40%3Cissues.activemq.apache.org%3E
- https://lists.debian.org/debian-security-announce/2017/msg00038.html
- https://lists.debian.org/debian-security-announce/2017/msg00039.html
- https://security.netapp.com/advisory/ntap-20180731-0002/
- https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html