CVE-2019-10072

Опубликовано: 21 июн. 2019

Источник: redhat

CVSS3: 5.3

Описание

The fix for CVE-2019-0199 was incomplete and did not address HTTP/2 connection window exhaustion on write in Apache Tomcat versions 9.0.0.M1 to 9.0.19 and 8.5.0 to 8.5.40 . By not sending WINDOW_UPDATE messages for the connection window (stream 0) clients were able to cause server-side threads to block eventually leading to thread exhaustion and a DoS.

Меры по смягчению последствий

pki-servlet-container does not use HTTP/2 in its default configuration.

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
Red Hat BPM Suite 6	tomcat	Out of support scope
Red Hat Enterprise Linux 6	tomcat	Not affected
Red Hat Enterprise Linux 7	tomcat	Not affected
Red Hat Enterprise Linux 8	pki-deps:10.6/pki-servlet-container	Will not fix
Red Hat Fuse 7	tomcat	Not affected
Red Hat JBoss BRMS 6	tomcat	Out of support scope
Red Hat JBoss Data Grid 7	tomcat	Not affected
Red Hat JBoss Fuse 6	tomcat	Not affected
Red Hat JBoss Web Server 5	tomcat	Fixed	RHSA-2019:3931	20.11.2019
Red Hat JBoss Web Server 5.2 on RHEL 6	jws5-ecj	Fixed	RHSA-2019:3929	20.11.2019

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate

Дефект:

CWE-400

https://bugzilla.redhat.com/show_bug.cgi?id=1723708tomcat: HTTP/2 connection window exhaustion on write, incomplete fix of CVE-2019-0199

5.3 Medium

CVSS3

Связанные уязвимости

CVE-2019-10072

CVSS3: 7.5

ubuntu

почти 6 лет назад

CVE-2019-10072

CVSS3: 7.5

nvd

почти 6 лет назад

CVE-2019-10072

CVSS3: 7.5

debian

почти 6 лет назад

The fix for CVE-2019-0199 was incomplete and did not address HTTP/2 co ...

GHSA-q4hg-rmq2-52q9

CVSS3: 7.5

github

почти 6 лет назад

Improper Locking in Apache Tomcat

BDU:2019-04404

CVSS3: 7.5

fstec

почти 6 лет назад

Уязвимость сервера приложений Apache Tomcat, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

5.3 Medium

CVSS3