Apache Tomcat HTTP/2 Implementációjának szolgáltatás megtagadásos sérülékenysége

Apache Tomcat HTTP/2 Implementációjának szolgáltatás megtagadásos sérülékenysége
Angol cím: Apache Tomcat HTTP/2 Implementation Denial of Service Vulnerability

CH azonosító: CH-14560
Publikálás dátuma: 2019.04.15.
Utolsó módosítás dátuma: 2019.04.15.

Leírás

Az Apache Tomcat-et érintő magas kockázati besorolású sérülékenység került publikálásra a CVE-2019-0199 számon.

Leírás utolsó módosítása: 2019.04.15.

Elemzés leírás

Magas kockázati besorolású sérülékenységet találtak az Apache Tomcat-ben, melyet kihasználva a távoli, nem hitelesített támadók szolgáltatás megtagadásos állapotot (DoS) idézhetnek elő a célrendszerben. A hiba az érintett szoftverekben található HTTP/2 implementáció nem megfelelő erőforrás kezeléséből adódik. A sikeres támadást követően a célrendszerben található szolgáltatás elérhetetlen lesz, és egy szolgáltatás megtagadásos állapot áll be (DoS).

Megoldás: Frissítsen a legfrissebb verzióra.

Érintett Verziók: Tomcat Java Server 8.5 (Base, .0, .1, .2, .3, .4, .5, .6, .7, .8, .9, .10, .11, .12, .13, .15, .22, .23, .24, .27, .28, .29, .30, .31, .32, .33, .35, .36, .37) | 9.0 (.0, .0.M1, .0M6, .0.M9, .0.M11, .0.M13, .0.M17, .0.M15, .0.M18, .0.M20, .0.M21, .1, .2, .4, .5, .6, .7, .8, .9, .10, .11, .12, .13, .14)

Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 7.5 (Magas)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Hatás pontszáma:
Kihasználhatóság pontszáma:

Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Nincs
Sértetlenség Hatása (I): Nincs
Rendelkezésre állás Hatása (A):

CVSS2 Súlyosság és Metrika

Alap pontszám: 5.0 (Közepes)
Vektor: AV:N/AC:L/Au:N/C:N/I:N/A:P
Hatás alpontszáma:
Kihasználhatóság alpontszáma:

Hozzáférés Vektora (AV): Hálózat
Hozzáférés Komplexitása (AC): Alacsony
Bizalmasság Hatása (C): Nincs
Sértetlenség Hatása (S): Nincs
Rendelkezésre állás Hatása (A): Rész

Hivatkozások

https://tools.cisco.com/security/center/viewAlert.x?alertId=59989
https://lists.apache.org/thread.html/e1b0b273b6e8ddcc72c9023bc2394b1276fc72664144bf21d0a87995@%3Cannounce.tomcat.apache.org%3E
https://tomcat.apache.org/download-80.cgi

Legfrissebb sérülékenységek
CVE-2023-28712 – Osprey Pump Controller sérülékenysége
CVE-2023-28718 – Osprey Pump Controller sérülékenysége
CVE-2023-28648 – Osprey Pump Controller sérülékenysége
CVE-2023-28375 – Osprey Pump Controller sérülékenysége
CVE-2023-28395 – Osprey Pump Controller sérülékenysége
CVE-2023-28398 – Osprey Pump Controller sérülékenysége
CVE-2023-28654 – Osprey Pump Controller sérülékenysége
CVE-2023-27394 – Osprey Pump Controller sérülékenysége
CVE-2023-27886 – Osprey Pump Controller sérülékenysége
CVE-2023-1516 – RoboDK sérülékenysége
Tovább a sérülékenységekhez »