ASA-2019-00371 – Apache Tomcat: HTTP/2 DoS

A correção para CVE-2019-0199 estava incompleta e não abordava o esgotamento da janela de conexão na escrita. Ao não enviar mensagens WINDOW_UPDATE para a janela de conexão (stream 0), os clientes conseguiram fazer com que os encadeamentos do lado do servidor fossem bloqueados, eventualmente levando à exaustão do encadeamento e a negação de serviço (DoS).

ASA-2019-00210 – Tomcat: Execução remota de código no Windows

Quando executado no Windows com enableCmdLineArguments ativado, o Servlet CGI é vulnerável à Execução Remota de Código devido a um erro na maneira como o JRE passa os argumentos da linha de comando para o Windows. O servlet CGI está desativado por padrão. A opção CGI enableCmdLineArguments está desativada por padrão no Tomcat 9.0.x (e será desativada por padrão em todas as versões em resposta a essa vulnerabilidade).

ASA-2019-00173 – Apache: Inconsistências de normalização de URL

Quando o componente de caminho de um URL de solicitação contém várias barras consecutivas ('/'), diretivas como LocationMatch e RewriteRule devem considerar duplicatas em expressões regulares, enquanto outros aspectos do processamento de servidores implicitamente as recolherão.

ASA-2019-00172 – Apache: Bypass de controle de acesso no mod_auth_digest

No Apache HTTP Server 2.4, versão 2.4.38 e anterior, um race condition em mod_auth_digest ao ser executado em um servidor threaded poderia permitir que um usuário com credenciais válidas autenticasse usando outro nome de usuário, ignorando as restrições de controle de acesso configuradas.