Apache Tomcat HTTP/2 Implementációjának szolgáltatás megtagadásos sérülékenysége
Angol cím: Apache Tomcat HTTP/2 Implementation Denial of Service Vulnerability
CH azonosító: CH-14560
Publikálás dátuma: 2019.04.15.
Utolsó módosítás dátuma: 2019.04.15.
Leírás
Az Apache Tomcat-et érintő magas kockázati besorolású sérülékenység került publikálásra a CVE-2019-0199 számon.
Leírás utolsó módosítása: 2019.04.15.Elemzés leírás
Magas kockázati besorolású sérülékenységet találtak az Apache Tomcat-ben, melyet kihasználva a távoli, nem hitelesített támadók szolgáltatás megtagadásos állapotot (DoS) idézhetnek elő a célrendszerben. A hiba az érintett szoftverekben található HTTP/2 implementáció nem megfelelő erőforrás kezeléséből adódik. A sikeres támadást követően a célrendszerben található szolgáltatás elérhetetlen lesz, és egy szolgáltatás megtagadásos állapot áll be (DoS).
Megoldás: Frissítsen a legfrissebb verzióra.
Érintett Verziók: Tomcat Java Server 8.5 (Base, .0, .1, .2, .3, .4, .5, .6, .7, .8, .9, .10, .11, .12, .13, .15, .22, .23, .24, .27, .28, .29, .30, .31, .32, .33, .35, .36, .37) | 9.0 (.0, .0.M1, .0M6, .0.M9, .0.M11, .0.M13, .0.M17, .0.M15, .0.M18, .0.M20, .0.M21, .1, .2, .4, .5, .6, .7, .8, .9, .10, .11, .12, .13, .14)
Hatás
CVSS3 Súlyosság és Metrika
Alap pontszám: 7.5 (Magas)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Hatás pontszáma:
Kihasználhatóság pontszáma:
Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Nincs
Sértetlenség Hatása (I): Nincs
Rendelkezésre állás Hatása (A): Magas
CVSS2 Súlyosság és Metrika
Alap pontszám: 5.0 (Közepes)
Vektor: AV:N/AC:L/Au:N/C:N/I:N/A:P
Hatás alpontszáma:
Kihasználhatóság alpontszáma:
Hozzáférés Vektora (AV): Hálózat
Hozzáférés Komplexitása (AC): Alacsony
Bizalmasság Hatása (C): Nincs
Sértetlenség Hatása (S): Nincs
Rendelkezésre állás Hatása (A): Rész
Hivatkozások
https://tools.cisco.com/security/center/viewAlert.x?alertId=59989
https://lists.apache.org/thread.html/e1b0b273b6e8ddcc72c9023bc2394b1276fc72664144bf21d0a87995@%3Cannounce.tomcat.apache.org%3E
https://tomcat.apache.org/download-80.cgi