Descubren vulnerabilidad en Apache Tomcat

Especialistas en análisis de vulnerabilidades han revelado el hallazgo de una nueva vulnerabilidad en Apache Tomcat. Al usar la autenticación con Apache Tomcat, entre las versiones 9.0.0.M1 a 9.0.29, 8.5.0 a 8.5.49 y 7.0.0 a 7.0.98, se presenta una ventana estrecha por donde un actor de amenazas podría desplegar un ataque de fijación de sesión.

Al inicio los investigadores consideraron que esta ventana era demasiado estrecha para funcionar como exploit en la práctica, no obstante, se decidió reportar este escenario como una falla de seguridad, registrada como CVE-2019-17563.

En el reporte de los expertos en análisis de vulnerabilidades, la conjunción de diversas circunstancias permite que se presente una condición de carrera en Tomcat, lo que permite la fijación de la sesión y, potencialmente, permitiría a los hackers realizar un ataque local para acceder a la sesión de un usuario con privilegios de administrador.

Para más detalles, los expertos de la firma de seguridad Support Five han preparado un cuadro donde los administradores pueden consultar si sus productos o versiones ya han sido evaluados para esta falla. Para determinar si su versión es vulnerable, además si los componentes están afectados por la vulnerabilidad, y para obtener información sobre las versiones, las versiones puntuales o las revisiones que abordan la vulnerabilidad, consulte la siguiente tabla:

En caso de que ejecute una versión afectada, los especialistas en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS) recomiendan corregir la falla actualizando a una de las versiones que cuentan con las soluciones. Si en la tabla se muestra solamente una versión anterior a la que está usted ejecutando actualmente, o no se menciona una versión vulnerable, no existe ninguna actualización por el momento.

Para obtener más información sobre fallas de seguridad, exploits, ataques cibernéticos y análisis de malware encontrados recientemente, puede visitar el sitio web oficial del Instituto Internacional de Seguridad Cibernética (IICS), además de las plataformas de comunicación oficiales de las compañías tecnológicas que actualmente trabajan por corregir incidentes de seguridad informática.

Fuente: https://noticiasseguridad.com/

No olvides Compartir...

Siguenos en twitter: @disoftin - @fredyavila

Descubren vulnerabilidad en Apache Tomcat

Publicado por fredyavila2

Publicar un comentario

0 Comentarios

Visitas al sitio

Más popular

Dorks de carding para inyección SQL

Cómo usar SQLMAP (Nivel principiante)

Credential Stuffing: cómo los ciberdelincuentes roban cuentas y cómo protegerse

Las advertencias del FBI son ciertas: los convertidores de archivos falsos sí propagan malware

Auditorías Web con OWASP ZAP – Introducción y ejemplos de uso

Random Posts

YouTube

Contribuir al blog

Archivo

Tags

Menu Footer Widget

Contact form

Descubren vulnerabilidad en Apache Tomcat

Publicado por fredyavila2

Entradas que pueden interesarte

Publicar un comentario

0 Comentarios

Visitas al sitio

Social Plugin

Más popular

Dorks de carding para inyección SQL

Cómo usar SQLMAP (Nivel principiante)

Credential Stuffing: cómo los ciberdelincuentes roban cuentas y cómo protegerse

Las advertencias del FBI son ciertas: los convertidores de archivos falsos sí propagan malware

Auditorías Web con OWASP ZAP – Introducción y ejemplos de uso

Random Posts

YouTube

Contribuir al blog

Archivo

Tags

Menu Footer Widget

Contact form