Apache Tomcat HTTP/2 Implementációjának szolgáltatás megtagadásos sérülékenysége

CH azonosító: CH-14560
Cím: Apache Tomcat HTTP/2 Implementációjának szolgáltatás megtagadásos sérülékenysége
Angol cím: Apache Tomcat HTTP/2 Implementation Denial of Service Vulnerability

Publikálás dátuma: 2019.04.15.
Utolsó módosítás dátuma: 2019.04.15.


Leírás

Az Apache Tomcat-et érintő magas kockázati besorolású sérülékenység került publikálásra a CVE-2019-0199 számon.


Leírás utolsó módosítása: 2019.04.15.


Elemzés leírás

Magas kockázati besorolású sérülékenységet találtak az Apache Tomcat-ben, melyet kihasználva a távoli, nem hitelesített támadók szolgáltatás megtagadásos állapotot (DoS) idézhetnek elő a célrendszerben. A hiba az érintett szoftverekben található HTTP/2 implementáció nem megfelelő erőforrás kezeléséből adódik. A sikeres támadást követően a célrendszerben található szolgáltatás elérhetetlen lesz, és egy szolgáltatás megtagadásos állapot áll be (DoS).

Megoldás: Frissítsen a legfrissebb verzióra.

Érintett Verziók: Tomcat Java Server 8.5 (Base, .0, .1, .2, .3, .4, .5, .6, .7, .8, .9, .10, .11, .12, .13, .15, .22, .23, .24, .27, .28, .29, .30, .31, .32, .33, .35, .36, .37) | 9.0 (.0, .0.M1, .0M6, .0.M9, .0.M11, .0.M13, .0.M17, .0.M15, .0.M18, .0.M20, .0.M21, .1, .2, .4, .5, .6, .7, .8, .9, .10, .11, .12, .13, .14)



Hatás

CVSS3 Severity and Metrics

Base score: 7.5
Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Impact Score:
Exploitability Score:


Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): None
Integrity Impact (I): None
Availability Impact (A): High

CVSS2 Severity and Metrics

Base score: 5.0
Vector: AV:N/AC:L/Au:N/C:N/I:N/A:P
Impact Subscore:
Exploitability Subscore:


Access Vector (AV): Network
Access Complexity (AC): Low
Confidentiality Impact (C): None
Integrity Impact (S): None
Availability Impact (A): Partial