PT-2021-11416 · Red Hat · Undertow
Publicado
2021-02-23
·
Atualizado
2022-02-09
·
CVE-2020-27782
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
**Nome do software vulnerável e versões afetadas:
Versões 2.0.33.SP2, 2.1.5.SP1 e 2.2.3.SP1 do Undertow
Descrição:
Foi encontrada uma falha no conector AJP do Undertow, permitindo que solicitações maliciosas e encerramentos abruptos de conexão fossem acionados por um invasor usando strings de consulta com caracteres não compatíveis com a RFC, resultando em uma negação de serviço. A maior ameaça decorrente desse problema é à disponibilidade do sistema.
Recomendações:
Para a versão 2.0.33.SP2 do Undertow, atualize para uma versão corrigida para resolver o problema.
Para a versão 2.1.5.SP1 do Undertow, atualize para uma versão corrigida para resolver o problema.
Para a versão 2.2.3.SP1 do Undertow, atualize para uma versão corrigida para resolver o problema.
Como solução alternativa temporária, considere restringir o uso de strings de consulta com caracteres não compatíveis com RFC no conector AJP do Undertow até que um patch esteja disponível.
Correção
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Undertow