Alertas de seguridad

Vulnerabilidades en Tomcat

Se han hecho públicas dos vulnerabilidades de severidad alta en Apache Tomcat, servidor de aplicaciones de código abierto para las tecnologías Java Servlet, JavaServer Pages, Java Expression Language y Java WebSocket. A continuación, se detallan los aspectos técnicos de cada vulnerabilidad:

  • CVE-2020-13934: Vulnerabilidad que puede permitir la lectura o escritura en una ubicación de memoria que está fuera del límite previsto del búfer. El error se produce cuando una conexión directa h2c no libera el proceso HTTP/1.1 después de la actualización a HTTP/2. Un atacante que realice una cantidad suficiente de este tipo de solicitudes provocaría una excepción del tipo OutOfMemoryException y causaría una denegación de servicio.

  • CVE-2020-13935: Vulnerabilidad del tipo “Infinite Loop” al existir una iteracción o ciclo con una condición de salida que no se puede alcanzar, es decir, un ciclo infinito. El fallo se debe a que la longitud del payload en un marco WebSocket no se valida correctamente en Apache Tomcat. Estas longitudes no válidas podrían desencadenar bucles infinitos y, en gran número, conducir a escenarios de denegación de servicio.

La base de datos del NIST ha asignado a ambas vulnerabilidades una criticidad de 7.5 según la escala CVSSv3 y, hasta la fecha, no se tiene conocimiento de su explotación activa en la red.


Recursos afectados

  • CVE-2020-13934:
    • Apache Tomcat versiones 10.0.0-M1 a 10.0.0-M6
    • Apache Tomcat versiones 9.0.0.M5 a 9.0.36
    • Apache Tomcat versiones 8.5.1 a 8.5.56
  • CVE-2020-13935:
    • Apache Tomcat versiones 10.0.0-M1 a 10.0.0-M6
    • Apache Tomcat versiones 9.0.0.M1 a 9.0.36
    • Apache Tomcat versiones 8.5.0 a 8.5.56
    • Apache Tomcat versiones 7.0.27 a 7.0.104


Solución a la vulnerabilidad

Según los avisos publicados por el propio fabricante, las siguientes actualizaciones solucionan las dos vulnerabilidades descritas:

  • Actualizar a Apache Tomcat 10.0.0-M7 o posterior
  • Actualizar a Apache Tomcat 9.0.37 o posterior
  • Actualizar a Apache Tomcat 8.5.57 o posterior


Todas las versiones de Apache Tomcat se encuentran disponibles en el siguiente enlace: https://archive.apache.org/dist/tomcat/