Alertas de seguridad

Denegación de servicio en Apache Tomcat

Se ha descubierto una vulnerabilidad para las versiones 8, 9 y 10 de Apache Tomcat las cuales están afectadas por 1 vulnerabilidad crítica de tipo denegación de servicio (DoS) en WebSocket.

Aache

La vulnerabilidad viene identificada con el siguiente CVE:

  • CVE-2021-42340 

Las versiones afectadas corresponden a:

  • desde la 8.5.60, hasta la 8.5.71;

  • desde la 9.0.40, hasta la 9.0.53;

  • desde la 10.0.0-M10, hasta la 10.0.11;

  • desde la 10.1.0-M1, hasta la 10.1.0-M5.

ACCIONES RECOMENDADAS: 

Este problema se soluciona realizando la actualización de las versiones afectadas a las siguientes versiones:

  • 5.72;
  • 0.54;

  • 0.12;

  • 1.0-M6.

La corrección del error 63362 introducía una fuga de memoria. El objeto introducido para recoger las métricas de las conexiones de actualización HTTP no se liberaba para las conexiones WebSocket, una vez que se cerraba dicha conexión. Esto creaba una fuga de memoria que podría provocar una denegación de servicio a través de un OutOfMemoryError. Se ha asignado el identificador CVE-2021-42340 para esta vulnerabilidad.

La información que compartimos es informativa y refleja los datos disponibles para el momento de la publicación. Sin embargo, es importante que consulte las actualizaciones disponibles en relación con cada vulnerabilidad que pueda afectar sus sistemas. Le recomendamos hacerlo directamente en el sitio web de cada fabricante o en bases de datos públicas como la de NIST.

Topics: Vulnerabilidad en Apache