Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

07/07/2020

Vulnerabilitats en productes Apache

S'han publicat diverses vulnerabilitats de nivell alt i crític en Apache Tomcat, Apache Traffic Server i Apache Guacamole.

Les vulnerabilitats reportades podrien causar:

• Ús elevat de CPU.
• Denegació de servei.
• Execució de codi.
• Alteració del flux de control previst.
• Lectura d'informació confidencial.
• Bloqueig del sistema.
• Control total sobre el servidor Guacamole.
• Intercepció i control de les sessions connectades.

Més informació.

Sistemes Afectats:

• Apache Tomcat versions 10.0.0-M1 a 10.0.0-M5
• Apache Tomcat versions 9.0.0.M1 a 9.0.35
• Apache Tomcat versions 8.5.0 a 8.5.55
• Apache Traffic Server versions 6.0.0 a 6.2.3.
• Apache Traffic Server versions 7.0.0 a 7.1.10.
• Apache Traffic Server versions 8.0.0 a 8.0.7.
• Apache Guacamole versió 1.1.0 i anteriors.

Referències:

CVE-2020-11996, CVE-2020-9494, CVE-2020-9497, CVE-2020-9498

Solució:

• Actualitzar a Apache Tomcat 10.0.0-M6 o posterior.
• Actualitzar a Apache Tomcat 9.0.36 o posterior.
• Actualitzar a Apache Tomcat 8.5.56 o posterior.
• Versions 6.x de Apache Traffic Server, actualitzar a 7.1.11, 8.0.8 o posteriors.
• Versions 7.x de Apache Traffic Server, actualitzar a 7.1.11 o posteriors.
• Versions 8.x de Apache Traffic Server, actualitzar a 8.0.8 o posteriors.
• Actualitzar a Apache Guacamole 1.2.0

Notes:

• CVE-2020-11996 Apache Tomcat HTTP/2 Denial of Service
• http://tomcat.apache.org/security-10.html
• http://tomcat.apache.org/security-9.html
• http://tomcat.apache.org/security-8.html
• Apache Traffic Server is vulnerable to a HTTP/2 HEADERS frame attack
• CVE-2020-9497: Apache Guacamole: Improper input validation of RDP static virtual channels
• CVE-2020-9498: Apache Guacamole: Dangling pointer in RDP static virtual channel handling

CSIRT-CV