Informamos que Apache ha liberado actualizaciones de seguridad para resolver las vulnerabilidades indicadas en la alerta CVE-2018-11784 que permitirían mediante solicitudes malformadas redirigir al usuario a otro sitio web.
Las versiones afectadas son:
- Apache Tomcat 9.0.0.M1 a 9.0.11
- Apache Tomcat 8.5.0 a 8.5.33
- Apache Tomcat 7.0.23 a 7.0.90
- y posiblemente la versión no soportada 8.0.x
La solución a esta vulnerabilidad consiste en realizar los siguientes upgrades de acuerdo a la versión instalada:
- Upgrade to Apache Tomcat 9.0.12 or later.
- Upgrade to Apache Tomcat 8.5.34 or later.
- Upgrade to Apache Tomcat 7.0.91 or later.
Y alternativamente setear las variables de contexto para asegurar que las redirecciones las realice el Mapper en lugar del default Servlet:
- mapperDirectoryRedirectEnabled=»true» y
- mapperContextRootRedirectEnabled=»true«