Actualizaciones de seguridad Apache – CVE-2018-11784

Informamos que Apache ha liberado actualizaciones de seguridad para resolver las vulnerabilidades indicadas en la alerta CVE-2018-11784 que permitirían mediante solicitudes malformadas redirigir al usuario a otro sitio web.

Las versiones afectadas son:

  • Apache Tomcat 9.0.0.M1 a 9.0.11
  • Apache Tomcat 8.5.0 a 8.5.33
  • Apache Tomcat 7.0.23 a 7.0.90
  • y posiblemente la versión no soportada 8.0.x

La solución a esta vulnerabilidad consiste en realizar los siguientes upgrades de acuerdo a la versión instalada:

  • Upgrade to Apache Tomcat 9.0.12 or later.
  • Upgrade to Apache Tomcat 8.5.34 or later.
  • Upgrade to Apache Tomcat 7.0.91 or later.

Y alternativamente setear las variables de contexto para asegurar que las redirecciones las realice el Mapper en lugar del default Servlet:

  • mapperDirectoryRedirectEnabled=”true” y
  • mapperContextRootRedirectEnabled=”true