Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

07/07/2020

Vulnerabilidades en productos Apache

Se han publicado diversas vulnerabilidades de nivel alto y crítico en Apache Tomcat, Apache Traffic Server y Apache Guacamole.

Las vulnerabilidades reportadas podrían causar:

• Uso elevado de CPU.
• Denegación de servicio.
• Ejecución de código.
• Alteración del flujo de control previsto.
• Lectura de información confidencial.
• Bloqueo del sistema.
• Control total sobre el servidor Guacamole.
• Intercepción y control de las sesiones conectadas.

Más información.

Sistemas Afectados:

• Apache Tomcat versiones 10.0.0-M1 a 10.0.0-M5
• Apache Tomcat versiones 9.0.0.M1 a 9.0.35
• Apache Tomcat versiones 8.5.0 a 8.5.55
• Apache Traffic Server versiones 6.0.0 a 6.2.3.
• Apache Traffic Server versiones 7.0.0 a 7.1.10.
• Apache Traffic Server versiones 8.0.0 a 8.0.7.
• Apache Guacamole versión 1.1.0 y anteriores.

Referencias:

CVE-2020-11996, CVE-2020-9494, CVE-2020-9497, CVE-2020-9498

Solución:

• Actualizar a Apache Tomcat 10.0.0-M6 o posterior.
• Actualizar a Apache Tomcat 9.0.36 o posterior.
• Actualizar a Apache Tomcat 8.5.56 o posterior.
• Versiones 6.x de Apache Traffic Server, actualizar a 7.1.11, 8.0.8 o posteriores.
• Versiones 7.x de Apache Traffic Server, actualizar a 7.1.11 o posteriores.
• Versiones 8.x de Apache Traffic Server, actualizar a 8.0.8 o posteriores.
• Actualizar a Apache Guacamole 1.2.0

Notas:

• CVE-2020-11996 Apache Tomcat HTTP/2 Denial of Service
• http://tomcat.apache.org/security-10.html
• http://tomcat.apache.org/security-9.html
• http://tomcat.apache.org/security-8.html
• Apache Traffic Server is vulnerable to a HTTP/2 HEADERS frame attack
• CVE-2020-9497: Apache Guacamole: Improper input validation of RDP static virtual channels
• CVE-2020-9498: Apache Guacamole: Dangling pointer in RDP static virtual channel handling

CSIRT-CV