For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00371
Identificador(es)
ASA-2019-00371, CVE-2019-10072
Título
HTTP/2 DoS
Fabricante(s)
The Apache Software Foundation
Produto(s)
Apache Tomcat
Versão(ões) afetada(s)
Apache Tomcat versões de 9.0.0.M1 até 9.0.19
Apache Tomcat versões de 8.5.0 até 8.5.40
Versão(ões) corrigida(s)
Apache Tomcat 9.0.20 ou posterior
Apache Tomcat 8.5.41 ou posterior
Prova de conceito
Desconhecido
Descrição
A correção para CVE-2019-0199 estava incompleta e não abordava o esgotamento da janela de conexão na escrita. Ao não enviar mensagens WINDOW_UPDATE para a janela de conexão (stream 0), os clientes conseguiram fazer com que os encadeamentos do lado do servidor fossem bloqueados, eventualmente levando à exaustão do encadeamento e a negação de serviço (DoS).
Detalhes técnicos
Desconhecido
Solução alternativa
Desconhecido
Créditos
John Simpson (Trend Micro Security Research)
Referência(s)
[SECURITY][CORRECTION] CVE-2019-10072 Apache Tomcat HTTP/2 DoS
https://mail-archives.us.apache.org/mod_mbox/www-announce/201906.mbox/%3Cca69531a-1592-be7b-60ce-729549c7f812%40apache.org%3E
Apache Tomcat – Apache Tomcat 9 vulnerabilities
http://tomcat.apache.org/security-9.html
Apache Tomcat – Apache Tomcat 8 vulnerabilities
http://tomcat.apache.org/security-8.html
Expand HTTP/2 timeout handling to connection window exhaustion on write.
https://github.com/apache/tomcat/commit/7f748eb
Fix test failures. Handle full allocation case.
https://github.com/apache/tomcat/commit/ada725a
CVE-2019-10072
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10072
CVE-2019-10072
https://nvd.nist.gov/vuln/detail/CVE-2019-10072
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 8 dezembro 2019