Vulnérabilité dans RedHat Jboss Enterprise Application Platform
Date de publication :
RedHat a annoncé la correction d’une vulnérabilité impactant JBoss Enterprise Application Platform. L’exploitation de cette vulnérabilité permettrait à un attaquant distant d'effectuer un déni de service.
CVE-2020-13935 [Score CVSS v3 : 7.5] : Apache Tomcat ne valide pas correctement la taille de la charge utile dans une trame Websocket, pouvant amener à une situation de boucle infinie dans le code. L’exploitation de cette vulnérabilité par un attaquant qui enverrait plusieurs paquets invalides pourrait conduire à un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
Criticité
- Score CVSS v3 : 7.5
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à ce jour
Composants vulnérables
- JBoss Enterprise Application Platform 6.4 for RHEL 7 x86_64
- JBoss Enterprise Application Platform 6.4 for RHEL 7 ppc64
- JBoss Enterprise Application Platform 6.4 for RHEL 6 x86_64
- JBoss Enterprise Application Platform 6.4 for RHEL 6 ppc64
- JBoss Enterprise Application Platform 6.4 for RHEL 6 i386
- JBoss Enterprise Application Platform 6.4 for RHEL 5 x86_64
- JBoss Enterprise Application Platform 6.4 for RHEL 5 i386
- JBoss Enterprise Application Platform 6 for RHEL 7 x86_64
- JBoss Enterprise Application Platform 6 for RHEL 7 ppc64
- JBoss Enterprise Application Platform 6 for RHEL 6 x86_64
- JBoss Enterprise Application Platform Text-Only Advisories x86_64
CVE
- CVE-2020-13935
Solutions ou recommandations
Mise en place de correctifs de sécurité
Une mise à jour est disponible pour Red Hat JBoss Enterprise Application Platform 6.4 pour Red Hat Enterprise Linux 5, 6, et 7
Solution de contournement
Aucune solution de contournement n’est disponible