CVE-2024-24549

Versões do Apache Tomcat anteriores à 11.0.0-M1, 10.1.0-M1, 9.0.0-M1, 8.5.0 a 8.5.98.

A vulnerabilidade no Apache Tomcat deve-se à validação inadequada de entradas para solicitações HTTP/2, levando a possíveis condições de DoS. Se a solicitação excedesse qualquer um dos limites configurados para cabeçalhos, o fluxo HTTP/2 associado não era reiniciado até que todos os cabeçalhos tivessem sido processados. Este problema afeta as versões do Apache Tomcat de 11.0.0-M1 a 11.0.0-M16, de 10.1.0-M1 a 10.1.18, de 9.0.0-M1 a 9.0.85 e de 8.5.0 a 8.5.98. Recomenda-se que os usuários atualizem para a versão 11.0.0-M17, 10.1.19, 9.0.86 ou 8.5.99, que corrigem o problema.

Para resolver o problema, recomenda-se que os usuários atualizem para a versão mais recente do Apache Tomcat, especificamente para as versões 11.0.0-M17, 10.1.19, 9.0.86 ou 8.5.99. A atualização para essas versões corrigirá a vulnerabilidade e evitará possíveis condições de DoS. Além disso, os usuários podem desativar temporariamente a função vulnerableFunction() até que um patch esteja disponível ou restringir o acesso ao módulo vulnerável para minimizar o risco de exploração. No entanto, essas são medidas temporárias e não devem ser usadas como solução permanente. Os usuários devem seguir as notas de lançamento da versão mais recente do Confluence Data Center e Server e baixar a versão mais recente na central de downloads.

Observação:

A pontuação e o vetor CVSS não são fornecidos nos dados de entrada, mas