CVE-2021-43980

MITJÀ: (5.3)

CVSS3: 4.6

Apache Tomcat podria permetre a un atacant remot obtenir informació delicada, causada per una fallada de concurrència de llarga durada en la implementació simplificada de lectures i escriptures de bloqueig. En enviar una sol·licitud especialment dissenyada, un atacant podria explotar aquesta vulnerabilitat per aconseguir informació de la instància Http11Processor, i utilitzar aquesta informació per llançar més atacs contra el sistema afectat.

Sistemes Afectats

• Apache Tomcat 8.5.0
• Apache Tomcat 10.0.0-M1
• Apache Tomcat 9.0.0-M1
• Apache Tomcat 10.1.0-M1
• Apache Tomcat 8.5.77
• Apache Tomcat 9.0.60
• Apache Tomcat 10.0.18
• Apache Tomcat 10.1.0-M12

Remediació
Actualitzi a l’última versió d’Apache Tomcat (8.5.78, 9.0.62, 10.0.20, 10.1.0-M14 o posterior), disponible en el lloc web d’Apache.

Referències

• https://seclists.org/oss-sec/2022/q3/238
• https://tomcat.apache.org/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-43980