PT-2020-5486 · Apache+4 · Apache Tomcat+4
Publicado
2020-07-05
·
Atualizado
2026-03-26
·
CVE-2020-13934
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do Apache Tomcat de 8.5.1 a 8.5.56
Versões do Apache Tomcat de 9.0.0.M5 a 9.0.36
Versões do Apache Tomcat de 10.0.0-M1 a 10.0.0-M6
Descrição
O problema está relacionado a uma conexão direta h2c com o Apache Tomcat, na qual o processador HTTP/1.1 não é liberado após uma atualização para HTTP/2. Isso pode levar a uma exceção OutOfMemoryException se um número suficiente de solicitações desse tipo for feito, resultando em uma negação de serviço. A vulnerabilidade pode ser explorada por um invasor remoto.
Recomendações
Para as versões do Apache Tomcat 8.5.1 a 8.5.56, atualize para uma versão que inclua a correção para este problema.
Para as versões do Apache Tomcat 9.0.0.M5 a 9.0.36, atualize para uma versão que inclua a correção para este problema.
Para as versões do Apache Tomcat 10.0.0-M1 a 10.0.0-M6, atualize para uma versão que inclua a correção para este problema.
Como solução alternativa temporária, considere restringir o número de conexões diretas h2c para evitar uma OutOfMemoryException.
Exploit
Correção
DoS
Memory Leak
Buffer Overflow
Resource Exhaustion
NULL Pointer Dereference
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Apache Tomcat
Linuxmint
Suse
Ubuntu