La Apache Software Foundation (ASF) ha lanzado actualizaciones de seguridad para abordar varias vulnerabilidades en su servidor de aplicaciones Tomcat, una de las cuales podría permitir que un atacante remoto obtenga información confidencial.
Apache Tomcat es un servidor web de código abierto y sistema servlet, que utiliza varias especificaciones Java EE, como Java Servlet, JavaServer Pages (JSP), Expression Language y WebSocket, y proporciona un entorno de servidor web HTTP «puro Java» para ejecutar el concepto Java in.
A diferencia de las vulnerabilidades de Apache Struts2 explotadas para violar los sistemas de la agencia de informes de crédito de Estados Unidos Equifax a fines del año pasado, las nuevas vulnerabilidades de Apache Tomcat son menos propensas a ser explotadas en la naturaleza.
Apache Tomcat – Vulnerabilidad de divulgación de información
La falla más crítica ( CVE-2018-8037 ) de Apache Tomcat es una vulnerabilidad de divulgación de información causada por un error en el rastreo de cierres de conexión que puede llevar a la reutilización de sesiones de usuario en una nueva conexión.
La vulnerabilidad, marcada como importante, fue informada al equipo de seguridad de Apache Tomcat por Dmitry Treskunov el 16 de junio de 2018 y se hizo pública el 22 de julio de 2018.
La falla afecta a las versiones de Tomcat 9.0.0.M9 a 9.0.9 y 8.5.5 a 8.5. .31, y se ha corregido en Tomcat 9.0.10 y 8.5.32.
Vulnerabilidad de Apache Tomcat – Denegación de Servicio (DoS)
Otra vulnerabilidad importante, rastreado como CVE-2018-1336 , en Apache Tomcat reside en el decodificador UTF-8 que puede conducir a una condición de denegación de servicio (DoS).
«Un manejo incorrecto del desbordamiento en el descodificador UTF-8 con caracteres suplementarios puede conducir a un bucle infinito en el descodificador que causa una denegación de servicio», dice la Apache Software Foundation en su aviso.
Actualizaciones de software del servidor Apache Tomcat (parches)
La vulnerabilidad afecta a las versiones 7.0.x, 8.0.x, 8.5.x y 9.0.x de Tomcat, y se ha abordado en las versiones 9.0.7, 8.5.32, 8.0.52 y 7.0.90 de Tomcat.
Apache Software Foundation también incluyó un parche de seguridad en las últimas versiones de Tomcat para abordar un error de derivación de restricciones de seguridad de baja gravedad ( CVE-2018-8034 ), que ocurre debido a la falta de verificación del nombre de host cuando se usa TLS con el cliente WebSocket.
Se recomienda encarecidamente a los administradores que apliquen las actualizaciones de software tan pronto como sea posible y se les recomienda permitir solo a los usuarios de confianza tener acceso a la red y monitorear los sistemas afectados.
La Apache Software Foundation dice que no ha detectado ningún incidente de explotación de una de estas vulnerabilidades de Apache Tomcat en la naturaleza.
Un atacante remoto podría explotar una de estas vulnerabilidades para obtener información confidencial.
