Sintesi

Rilevate 2 vulnerabilità di sicurezza – già sanate dal vendor – nel noto server web open source sviluppato da Apache Software Foundation. Tale vulnerabilità potrebbero essere sfruttate per sovraccaricare le risorse di calcolo dei sistemi interessati al fine di compromettere la disponibilità del servizio.

Tipologia

• Denial of Service

Prodotti e versioni affette

Apache Tomcat

• 11.0.x, dalla versione 11.0.0-M1 alla 11.0.0-M16
• 10.1.x, dalla versione 10.1.0-M1 alla 10.1.18
• 9.0.x, dalla versione 9.0.0-M1 alla 9.0.85
• 8.5.x, dalla versione 8.5.0 alla 8.5.98

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Identificatori univoci vulnerabilità

CVE-2024-23672

CVE-2024-24549

Riferimenti

https://tomcat.apache.org/security-11.html

https://tomcat.apache.org/security-10.html

https://tomcat.apache.org/security-9.html

https://tomcat.apache.org/security-8.html

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.