Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/11/2016
Los fallos afectan a las ramas 6, 7, 8 y 9 y, los atacantes podrían provocar denegación de servicio, ataques cross-site scripting o ejecución remota de código.
Una de las vulnerabilidades afecta a las instalaciones que utilizan JmxRemoteLifecycleListener. Otro de los fallos está relacionado con el tratamiento de cabeceras HTTP/2. Y el tercer error corregido tiene que ver con el código que trata la petición http.
Más información.
6.0.0 a 6.0.47, 7.0.0 a 7.0.72, 8.0.0.RC1 a 8.0.38, 8.5.0 a 8.5.6 y 9.0.0.M1 a 9.0.0.M11
Referencias:CVE-2016-3427, CVE-2016-6817, CVE-2016-6816
Solución:Actualizar a las últimas versiones (9.0.0.M13, 8.0.39, 8.5.8, 7.0.73 o 6.0.48):
Notas:http://tomcat.apache.org/security-6.html#Fixed_in_Apache_Tomcat_6.0.48