Sintesi
Rilevata una vulnerabilità di sicurezza – già sanata dal vendor – nel noto server web open source sviluppato da Apache Software Foundation. Tale vulnerabilità potrebbe essere sfruttata per compromettere la disponibilità del servizio sui sistemi interessati.
Rischio
Stima d’impatto della vulnerabilità sulla comunità di riferimento: MEDIO/GIALLO (63,46/100)1.
Tipologia
- Denial of Service
Prodotti e versioni affette
Apache Tomcat
- 9.x, dalla versione 9.0.13 alla 9.0.89
- 10.x, dalla versione 10.1.0-M1 alla 10.1.24
- 11.x, dalla versione 11.0.0-M1 alla 11.0.0-M20
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
Identificatori univoci vulnerabilità
Riferimenti
https://lists.apache.org/thread/wms60cvbsz3fpbz9psxtfx8r41jl6d4s
https://tomcat.apache.org/security-9.html
https://tomcat.apache.org/security-10.html
https://tomcat.apache.org/security-11.html
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.
