Impatto Sistemico

Medio (63.46)

Sintesi

Rilevate molteplici vulnerabilità di sicurezza, di cui 11 con gravità “alta”, in Tomcat e HTTP Server, progetti open source per gestire e servire contenuti web, sviluppati da Apache Software Foundation. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malintenzionato di accedere a informazioni sensibili e/o compromettere la disponibilità del servizio sul sistema interessato.

Tipologia

• Denial of Service
• Data Manipulation
• Information Leakage

Prodotti e versioni affette

Apache Tomcat

• 9.x, dalla versione 9.0.0-M1 alla 9.0.106
• 10.x, dalla versione 10.1.0-M1 alla 10.1.42
• 11.x, dalla versione 11.0.0-M1 alla 11.0.8

Apache HTTP Server

• 2.4.x, dalla versione 2.4.0 alla 2.4.63

N.B. Si evidenzia che i prodotti elencati risultano vulnerabili solo in specifiche circostanze indicate nei relativi bollettini di sicurezza.

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta”: