Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
18/01/2012
Apache Tomcat publica parche para vulnerabilidad que puede provocar DoS
Tomcat publica una solución temporal para el problema detectado en el 28 Chaos Communication Congress.
No podemos pasar por alto una inquietante alerta de Apache Tomcat sobre varias ramas de su servidor de aplicaciones web correspondientes a la 7.0.x, 6.0.x y 5.5.x. Investigaciones recientes del equipo de seguridad de Apache Tomcat han revelado que el uso ineficiente que hace Tomcat al procesar un gran número de parámetros y valores de las peticiones HTTP podría causar una saturación de los servidores al consumir una gran cantidad de CPU.
Esta vulnerabilidad podría ser explotada con fines maliciosos y provocar un ataque DoS sobre las páginas y aplicaciones web que usen dichas versiones de Tomcat.
El escenario de amenaza básico podría ser una simple petición con un gran número de parámetros, incluso hacer clic en un enlace que genere una petición HTTP especialmente diseñada para lanzar un ataque, tal como se explicó en el pasado 28 Chaos Communication Congress y comentamos aquí. Se advirtió que los métodos de hashing para encontrar los objetos individuales en grandes cantidades de datos son los responsable de esta vulnerabilidad común en lenguajes como PHP, ASP.NET, Java y Python.
Se recomienda que se tomen las precauciones oportunas y que se actualice a las correspondientes versiones que solventan esta vulnerabilidad: Tomcat 7.0.23, 6.0.35 y 5.5.35.
De momento, hay que tener en cuenta que esta solución es temporal, ya que simplemente se ha fijado un nuevo parámetro de configuración (maxParameterCount) que fija el número máximo de parámetros de entrada en una sola petición en 10.000.