PT-2024-6592 · Apache+9 · Apache Tomcat+9

Ozaki

·

Publicado

2024-06-19

·

Atualizado

2026-03-26

·

CVE-2024-38286

CVSS v3.1

8.6

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas:
Versões do Apache Tomcat de 9.0.13 a 9.0.89, de 10.1.0-M1 a 10.1.24 e de 11.0.0-M1 a 11.0.0-M20. Versões mais antigas, em fim de vida útil (EOL), incluindo 7.0.92 a 7.0.109 e 8.5.35 a 8.5.100, também estão afetadas.
Descrição:
Existe uma vulnerabilidade no Apache Tomcat que permite que um invasor provoque uma condição de negação de serviço (DoS) ao abusar do processo de handshake TLS, podendo levar a um erro OutOfMemoryError. Esse problema ocorre em determinadas configurações em qualquer plataforma.
Recomendações:
As versões do Apache Tomcat anteriores à 11.0.0-M21 são afetadas. Atualize para a versão 11.0.0-M21 ou posterior.
As versões do Apache Tomcat anteriores à 10.1.25 estão afetadas. Atualize para a versão 10.1.25 ou posterior.
As versões do Apache Tomcat anteriores à 9.0.90 estão afetadas. Atualize para a versão 9.0.90 ou posterior.

Exploit

Correção

DoS

Resource Exhaustion

Allocation of Resources Without Limits

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400CWE-770

Identificadores relacionados

ALT-PU-2025-1726
ALT-PU-2025-2379
ALT-PU-2025-9146
BDU:2024-07738
BIT-TOMCAT-2024-38286
CESA-2024_5694
CVE-2024-38286
DLA-4017-1
DSA-5845-1
GHSA-7JQF-V358-P8G7
RHSA-2024:4976
RHSA-2024:5024
RHSA-2024:5693
RHSA-2024:5694
RHSA-2024:5695
RHSA-2024:5696
RHSA-2024:8494
RHSA-2024:8497
RHSA-2024:8528
RHSA-2024:8543
RHSA-2024:8567
RHSA-2024:8572
RHSA-2024_5693
RHSA-2024_5694
SUSE-SU-2024:3510-1
SUSE-SU-2024_3510-1
SUSE-SU-2026:1058-1
USN-7562-1

Produtos afetados

Alt Linux
Apache Tomcat
Astra Linux
Bitbucket
Centos
Linuxmint
Red Hat
Red Os
Suse
Ubuntu