hace 2 meses · Actualizado hace 2 meses
Se ha publicado una actualización de alerta de seguridad de TI para una vulnerabilidad conocida de Apache Tomcat. Puedes aprender cómo deben comportarse los influencers aquí.
Oficina Federal de Seguridad en Tecnología de la Información (BSI) el 2 de enero de 2025, una actualización para Apache Tomcat que se identificó el 17 de diciembre de 2024 liberó un agujero de seguridad con múltiples vulnerabilidades. Los sistemas operativos Linux, NetApp Appliance, UNIX y Windows, así como los productos NetApp ActiveIQ Unified Manager y Apache Tomcat, se ven afectados por la vulnerabilidad de seguridad.
Las últimas recomendaciones del fabricante con respecto a actualizaciones, correcciones y parches de seguridad para esta vulnerabilidad se pueden encontrar aquí: Aviso de seguridad de NetApp NTAP-20250103-0003 (A partir del 3 de enero de 2025). Otros enlaces útiles se enumeran más adelante en este artículo.
- Múltiples vulnerabilidades para Apache Tomcat - Riesgo: alto
- Error de Apache Tomcat: resumen de vulnerabilidades conocidas
- Sistemas afectados por vulnerabilidades de seguridad de un vistazo
- Recomendaciones generales para abordar las vulnerabilidades de TI
- Información del fabricante sobre actualizaciones, parches y soluciones
- Fecha de revisión de este aviso de seguridad
Múltiples vulnerabilidades para Apache Tomcat - Riesgo: alto
Nivel de riesgo: 4 (alto)
Cláusula Básica de CVSS: 8.1
Puntuación provisional CVSS: 7,1
Ataque a distancia: Sí
El Sistema de puntuación de vulnerabilidad común (CVSS) se utiliza para evaluar la gravedad de las vulnerabilidades en los sistemas informáticos. El estándar CVSS permite comparar vulnerabilidades de seguridad potenciales o reales en función de diferentes criterios para crear una lista de prioridades para la adopción de medidas. Los atributos "ninguno", "bajo", "moderado", "alto" y "crítico" se utilizan para definir los niveles de gravedad de la vulnerabilidad. Baseline mide los requisitos de un ataque (incluida la precisión, la complejidad, los privilegios y la interacción del usuario) y sus consecuencias. La dimensión temporal también tiene en cuenta los cambios en la situación de riesgo a lo largo del tiempo. Según CVSS, el riesgo de la vulnerabilidad aquí analizada está calificado como "alto" con una calificación básica de 8,1.
Error de Apache Tomcat: resumen de vulnerabilidades conocidas
Apache Tomcat es un servidor de aplicaciones web para varias plataformas.
Un atacante remoto y desconocido podría aprovechar varias vulnerabilidades en Apache Tomcat para ejecutar código arbitrario y provocar una denegación de servicio.
Las vulnerabilidades se han clasificado utilizando el sistema de nombres CVE (Common Vulnerabilities and Developments) con los números de serie individuales CVE-2024-50379 y CVE-2024-54677.
Sistemas afectados por vulnerabilidades de seguridad de un vistazo
sistemas operativos
Linux, dispositivo NetApp, UNIX, Windows
Productos
NetApp ActiveIQ Unified Manager para Linux (cpe:/a:netapp:active_iq_unified_manager)
NetApp ActiveIQ Unified Manager para VMware vSphere (cpe:/a:netapp:active_iq_unified_manager)
NetApp ActiveIQ Unified Manager para Microsoft Windows (cpe:/a:netapp:active_iq_unified_manager)
Apache Tomcat <11.0.2 (cpe:/a:apache:tomcat)
Apache Tomcat 11.0.2 (cpe:/a:apache:tomcat)
Apache Tomcat <10.1.34 (cpe:/a:apache:tomcat)
Apache Tomcat 10.1.34 (cpe:/a:apache:tomcat)
Apache Tomcat <9.0.98 (cpe:/a:apache:tomcat)
Apache Tomcat 9.0.98 (cpe:/a:apache:tomcat)
Recomendaciones generales para abordar las vulnerabilidades de TI
- Los usuarios de los sistemas afectados deben actualizarlos. Cuando se conocen fallas de seguridad, los fabricantes deben solucionarlas rápidamente mediante el desarrollo de un parche o solución. Si hay parches de seguridad disponibles, instálelos inmediatamente.
- Para obtener información, consulte los recursos enumerados en la siguiente sección. Estos suelen incluir más información sobre la última versión del software en cuestión, así como la disponibilidad de parches de seguridad o consejos para la solución de problemas.
- Si tiene más preguntas o inquietudes, comuníquese con su administrador responsable. Los administradores de seguridad de TI deben verificar periódicamente los recursos enumerados para ver si hay una nueva actualización de seguridad disponible.
Información del fabricante sobre actualizaciones, parches y soluciones
Aquí encontrará enlaces adicionales con información sobre informes de errores, correcciones de seguridad y soluciones.
Aviso de seguridad de NetApp NTAP-20250103-0003 2025-01-03 (02.01.2025)
Puede encontrar más información aquí:
Base de datos de asesoramiento de GitHub a partir del 17 de diciembre de 2024 (17 de diciembre de 2024)
Puede encontrar más información aquí:
Base de datos de asesoramiento de GitHub a partir del 17 de diciembre de 2024 (17 de diciembre de 2024)
Puede encontrar más información aquí:
Lista de correo de Apache a partir del 2024-12-17 (17 de diciembre de 2024)
Puede encontrar más información aquí:
Lista de correo de Apache a partir del 2024-12-17 (17 de diciembre de 2024)
Puede encontrar más información aquí:
Fecha de revisión de este aviso de seguridad
Esta es la tercera versión de este boletín de seguridad de TI para Apache Tomcat. Si se anuncian más actualizaciones, esta publicación se actualizará. Puede leer sobre los cambios o adiciones en el historial de esta versión.
17 de diciembre de 2024 - Versión inicial
18 de diciembre de 2024: clasificación CVSS revisada para CVE-2024-50379 debido a la "alta" complejidad del ataque
01.02.2025 - Se agregaron nuevas actualizaciones de NetApp
Más noticias