ASA-2019-00371 – Apache Tomcat: HTTP/2 DoS


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00371

Identificador(es)

ASA-2019-00371, CVE-2019-10072

Título

HTTP/2 DoS

Fabricante(s)

The Apache Software Foundation

Produto(s)

Apache Tomcat

Versão(ões) afetada(s)

Apache Tomcat versões de 9.0.0.M1 até 9.0.19
Apache Tomcat versões de 8.5.0 até 8.5.40

Versão(ões) corrigida(s)

Apache Tomcat 9.0.20 ou posterior
Apache Tomcat 8.5.41 ou posterior

Prova de conceito

Desconhecido

Descrição

A correção para CVE-2019-0199 estava incompleta e não abordava o esgotamento da janela de conexão na escrita. Ao não enviar mensagens WINDOW_UPDATE para a janela de conexão (stream 0), os clientes conseguiram fazer com que os encadeamentos do lado do servidor fossem bloqueados, eventualmente levando à exaustão do encadeamento e a negação de serviço (DoS).

Detalhes técnicos

Desconhecido

Solução alternativa

Desconhecido

Créditos

John Simpson (Trend Micro Security Research)

Referência(s)

[SECURITY][CORRECTION] CVE-2019-10072 Apache Tomcat HTTP/2 DoS
https://mail-archives.us.apache.org/mod_mbox/www-announce/201906.mbox/%3Cca69531a-1592-be7b-60ce-729549c7f812%40apache.org%3E

Apache Tomcat – Apache Tomcat 9 vulnerabilities
http://tomcat.apache.org/security-9.html

Apache Tomcat – Apache Tomcat 8 vulnerabilities
http://tomcat.apache.org/security-8.html

Expand HTTP/2 timeout handling to connection window exhaustion on write.
https://github.com/apache/tomcat/commit/7f748eb

Fix test failures. Handle full allocation case.
https://github.com/apache/tomcat/commit/ada725a

CVE-2019-10072
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10072

CVE-2019-10072
https://nvd.nist.gov/vuln/detail/CVE-2019-10072

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 8 dezembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.