Apache Tomcat HTTP/2 Implementációjának szolgáltatás megtagadásos sérülékenysége

CH azonosító: CH-14560
Cím: Apache Tomcat HTTP/2 Implementációjának szolgáltatás megtagadásos sérülékenysége
Angol cím: Apache Tomcat HTTP/2 Implementation Denial of Service Vulnerability

Publikálás dátuma: 2019.04.15.
Utolsó módosítás dátuma: 2019.04.15.


Leírás

Az Apache Tomcat-et érintő magas kockázati besorolású sérülékenység került publikálásra a CVE-2019-0199 számon.
Leírás utolsó módosítása: 2019.04.15.


Elemzés leírás

Magas kockázati besorolású sérülékenységet találtak az Apache Tomcat-ben, melyet kihasználva a távoli, nem hitelesített támadók szolgáltatás megtagadásos állapotot (DoS) idézhetnek elő a célrendszerben. A hiba az érintett szoftverekben található HTTP/2 implementáció nem megfelelő erőforrás kezeléséből adódik. A sikeres támadást követően a célrendszerben található szolgáltatás elérhetetlen lesz, és egy szolgáltatás megtagadásos állapot áll be (DoS). Megoldás: Frissítsen a legfrissebb verzióra. Érintett Verziók: Tomcat Java Server 8.5 (Base, .0, .1, .2, .3, .4, .5, .6, .7, .8, .9, .10, .11, .12, .13, .15, .22, .23, .24, .27, .28, .29, .30, .31, .32, .33, .35, .36, .37) | 9.0 (.0, .0.M1, .0M6, .0.M9, .0.M11, .0.M13, .0.M17, .0.M15, .0.M18, .0.M20, .0.M21, .1, .2, .4, .5, .6, .7, .8, .9, .10, .11, .12, .13, .14)


Hatás

CVSS3 Severity and Metrics

Base score: 7.5
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Impact Score:
Exploitability Score:


Attack Vector (AV): Network
Attack Complexity (AC): Alacsony
Privileges Required (PR): Nincs
User Interaction (UI): Nincs
Scope (S): Unchanged
Confidentiality Impact (C): Nincs
Integrity Impact (I): Nincs
Availability Impact (A): Magas

CVSS2 Severity and Metrics

Base score: 5.0
Vektor: AV:N/AC:L/Au:N/C:N/I:N/A:P
Impact Subscore:
Exploitability Subscore:


Access Vector (AV): Network
Access Complexity (AC): Alacsony
Confidentiality Impact (C): Nincs
Integrity Impact (S): Nincs
Availability Impact (A): Partial