Vulnerabilidad en Undertow (CVE-2024-5971)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
08/07/2024
Última modificación:
19/09/2024
Descripción
Se encontró una vulnerabilidad en Undertow, donde la respuesta fragmentada se suspende después de que se lavó el cuerpo. Los encabezados y el cuerpo de la respuesta se enviaron, pero el cliente continuaría esperando ya que Undertow no envía la terminación 0\r\n esperada de la respuesta fragmentada. Esto da como resultado un consumo descontrolado de recursos, dejando al lado del servidor expuesto a un ataque de denegación de servicio. Esto sucede solo con escenarios Java 17 TLSv1.3.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://access.redhat.com/errata/RHSA-2024:4392
- https://access.redhat.com/errata/RHSA-2024:4884
- https://access.redhat.com/errata/RHSA-2024:5143
- https://access.redhat.com/errata/RHSA-2024:5144
- https://access.redhat.com/errata/RHSA-2024:5145
- https://access.redhat.com/errata/RHSA-2024:5147
- https://access.redhat.com/errata/RHSA-2024:6508
- https://access.redhat.com/errata/RHSA-2024:6883
- https://access.redhat.com/security/cve/CVE-2024-5971
- https://bugzilla.redhat.com/show_bug.cgi?id=2292211