Apache Software Foundation ha lanzado actualizaciones de seguridad para el servidor de aplicaciones Tomcat que solucionan varios defectos.
Apache Software Foundation ha lanzado actualizaciones de seguridad para el servidor de aplicaciones Tomcat que abordan varias vulnerabilidades, incluidos problemas que desencadenan una condición de denegación de servicio (DoS) o pueden conducir a la divulgación de información.
Apache Tomcat es un contenedor de código abierto Java Servlet que implementa varias especificaciones Java EE incluyendo Java Servlet, JavaServer Pages (JSP), Java EL y WebSocket, y proporciona un entorno de servidor web HTTP "puro Java" en el que se puede ejecutar código Java.
Se ha estimado que Tomcat tiene una participación de mercado de más del 60 por ciento.
El primer defecto abordado por la Apache Software Foundation es el CVE-2018-8037, es un error importante en el seguimiento de cierres de conexión que puede conducir a la reutilización de sesiones de usuario en una nueva conexión.
La falla afecta las versiones de Tomcat 9.0.0.M9 a 9.0.9 y 8.5.5 a 8.5.31. Las versiones de Tomcat 9.0.10 y 8.5.32 abordan las vulnerabilidades.
Otro tema importante abordado por la Fundación es el CVE-2018-1336 , es un manejo incorrecto del desbordamiento en el decodificador UTF-8 con caracteres adicionales que pueden conducir a un bucle infinito en el descodificador que activa una condición de Denegación de Servicio.
Las versiones 9.0.7, 8.5.32, 8.0.52 y 7.0.90 corrigen la vulnerabilidad.
Apache Software Foundation también ha resuelto una restricción de seguridad de baja gravedad rastreada como CVE-2018-8034.
"La verificación del nombre de host al usar TLS con el cliente WebSocket faltaba. Ahora está habilitado por defecto ", dice el aviso de seguridad.
La vulnerabilidad se ha abordado con el lanzamiento de las últimas versiones de Tomcat 7.0.x, 8.0.x, 8.5.x y 9.0.x.
El US-CERT ha lanzado una alerta de seguridad que insta a los usuarios a aplicar actualizaciones de seguridad.
"La Apache Software Foundation ha lanzado actualizaciones de seguridad para abordar vulnerabilidades en las versiones de Apache Tomcat 9.0.0.M9 a 9.0.9, 8.5.0 a 8.5.31, 8.0.0.RC1 a 8.0.51 y 7.0.28 a 7.0 .86. Un atacante remoto podría explotar una de estas vulnerabilidades para obtener información sensible ", dice el aviso de seguridad publicado por el CERT de EE. UU.
"NCCIC alienta a los usuarios y administradores a revisar los avisos de seguridad de Apache para CVE-2018-8037 y CVE-2018-1336 y aplicar las actualizaciones necesarias".
Las vulnerabilidades de Apache Tomcat tienen menos probabilidades de ser explotadas en la naturaleza.
Ignite se ve afectado por dos agujeros de seguridad, los cuales pueden llevar a la ejecución de código arbitrario.
Fecha actualización el 2021-07-25. Fecha publicación el 2018-07-25. Categoría: apache Autor: Oscar olg Mapa del sitio Fuente: securityaffairs