Redazione RHC : 15 agosto 2025 08:50
Se ha descubierto una falla de seguridad crítica en la implementación HTTP/2 de Apache Tomcat. Esta vulnerabilidad permite a los atacantes realizar ataques maliciosos de denegación de servicio (DoS) en servidores web.
La vulnerabilidad, identificada como CVE-2025-48989 y denominada el ataque «Made You Reset», afecta a varias versiones del popular contenedor de servlets de Java, dj, y representa riesgos significativos para las aplicaciones web en todo el mundo. La falla de seguridad, clasificada como grave, afecta a las versiones de Apache Tomcat de la 11.0.0-M1 a la 11.0.9, de la 10.1.0-M1 a la 10.1.43 y de la 9.0.0.M1 a la 9.0.107.
Factores de riesgo | Detalles |
Productos afectados | – Apache Tomcat de la 11.0.0-M1 a la 11.0.9 – Apache Tomcat de la 10.1.0-M1 a la 10.1.43 – Apache Tomcat de la 9.0.0.M1 a la 9.0.107 – Versiones anteriores al final de su vida útil (posiblemente afectadas) |
Impacto | Denegación de servicio (DoS) |
Requisitos de explotación | – Protocolo HTTP/2 habilitado en el servidor objetivo – Acceso a la red para enviar solicitudes HTTP/2 maliciosas – Capacidad para crear tramas de recuperación de flujo HTTP/2 – No se requiere autenticación |
La vulnerabilidad fue identificada por los investigadores de seguridad Gal Bar Nahum, Anat Bremler-Barr y Yaniv Harel de la Universidad de Tel Aviv, quienes publicaron sus hallazgos el 13 de agosto de 2025. Incluso versiones anteriores y descontinuadas podrían ser vulnerables, lo que podría afectar a miles de servidores web en todo el mundo. mundo.
El ataque «Made You Reset» explota las debilidades en la implementación del protocolo HTTP/2 de Tomcat, atacando el mecanismo de restablecimiento de la conexión. Si se ejecuta correctamente, el ataque se manifiesta como un OutOfMemoryError, que provoca que el servidor objetivo agote los recursos de memoria disponibles y deje de responder a las solicitudes legítimas.
La vulnerabilidad reside en la forma en que Tomcat gestiona los restablecimientos de flujos HTTP/2 y la gestión de conexiones. Los atacantes pueden crear solicitudes HTTP/2 maliciosas que obliguen al servidor a asignar recursos de memoria excesivos sin liberarlos correctamente. Este comportamiento de fuga de memoria puede activarse repetidamente, llegando a saturar la memoria disponible del servidor y desencadenar una denegación de servicio.
El vector de ataque explota la función de multiplexación HTTP/2, que permite procesar múltiples flujos simultáneamente en una única conexión TCP.
Al manipular las tramas de recuperación de flujo y la gestión del estado de conexión, los atacantes pueden obligar a Tomcat a mantener numerosas conexiones semiabiertas o estados de flujo incompletos, lo que resulta en el agotamiento de recursos.
El Departamento de Justicia de Estados Unidos y la policía británica han acusado a Talha Jubair, de 19 años, residente del este de Londres, quien los investigadores creen que es un miembro clave de...
Una carta abierta firmada por importantes fundaciones de código abierto ha alertado sobre el futuro de la infraestructura que sustenta el desarrollo de software moderno. La Fundación de Seguridad de...
Cisco ha revelado una vulnerabilidad de día cero, identificada como CVE-2025-20352, en su software IOS e IOS XE, ampliamente utilizado. Esta vulnerabilidad parece estar siendo explotada activamente. ...
El 20 de septiembre de 2025, un ciberataque afectó a tres de los principales aeropuertos de Europa: Londres-Heathrow, Bruselas y Berlín. Los sistemas digitales que gestionaban la facturación y la g...
Trabajé como ingeniero de sistemas durante varios años y una de mis responsabilidades era administrar Citrix PVS. Uno de los problemas con PVS era el análisis de los archivos de volcado. La única ...