PT-2020-5408 · Apache+4 · Apache Tomcat+4
Publicado
2020-06-07
·
Atualizado
2025-09-29
·
CVE-2020-11996
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do Apache Tomcat de 8.5.0 a 8.5.55
Versões do Apache Tomcat de 9.0.0.M1 a 9.0.35
Versões do Apache Tomcat de 10.0.0-M1 a 10.0.0-M5
Descrição
O problema está relacionado a um consumo descontrolado de recursos no servidor Apache Tomcat. Ele pode ser explorado por um invasor remoto usando uma sequência especialmente criada de solicitações HTTP/2, causando potencialmente alto uso da CPU por vários segundos. Se um número suficiente dessas solicitações for feito em conexões HTTP/2 simultâneas, o servidor pode deixar de responder.
Recomendações
Para as versões do Apache Tomcat 8.5.0 a 8.5.55, atualize para uma versão que inclua uma correção para este problema.
Para as versões do Apache Tomcat 9.0.0.M1 a 9.0.35, atualize para uma versão que inclua uma correção para este problema.
Para as versões do Apache Tomcat 10.0.0-M1 a 10.0.0-M5, atualize para uma versão que inclua uma correção para este problema.
Como solução alternativa temporária, considere restringir o número de conexões HTTP/2 simultâneas para minimizar o risco de exploração.
Exploit
Correção
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Apache Tomcat
Linuxmint
Suse
Ubuntu