Raffaela Crisci : 5 Luglio 2024 18:26
La vulnerabilità CVE-2024-34750 in Apache Tomcat, come descritto nel bollettino di sicurezza AL01/240705/CSIRT-ITA, riguarda un problema che può essere sfruttato per sovraccaricare le risorse di calcolo del server, portando a un Denial of Service (DoS).
Apache Tomcat è un server open-source che implementa le specifiche Java Servlet, JavaServer Pages (JSP), e altre tecnologie Java. La vulnerabilità è stata scoperta direttamente dal security team di Tomcat.
La vulnerabilità è stata identificata nel server web open source Apache Tomcat, sviluppato dalla Apache Software Foundation. Questa falla di sicurezza può essere sfruttata da un attaccante remoto per sovraccaricare le risorse di calcolo del sistema vulnerabile, compromettendo così la disponibilità del servizio. In pratica, un attaccante potrebbe inviare una serie di richieste mirate a consumare eccessivamente CPU, memoria o altre risorse critiche del server, portando a rallentamenti significativi o persino al blocco completo del servizio.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Ciò è dovuto alla modalità di processo degli stream HTTP/2, quando un alto numero di questi stream viene usato Tomcat utilizza in maniera impropria un countdown infinito che permette alle connessioni concluse di rimanere aperte utilizzando in maniera eccessiva le risorse. Per poter ingannare il servizio Tomcat è necessario un utilizzo eccessivo degli Headers che unito all’alto numero di stream triggera il countdown infinito.
Possibile impatto: Un attaccante può sfruttare questa vulnerabilità per rendere il server Tomcat non disponibile, interrompendo il servizio offerto agli utenti legittimi. Questo può avere conseguenze gravi, specialmente per i servizi web che richiedono alta disponibilità e tempi di risposta rapidi.
Questa vulnerabilità riguarda varie versioni di Apache Tomcat: da 11.0.0-M1 a 11.0.0-M20, da 10.1.0-M1 a 10.1.24, da 9.0.0-M1 a 9.0.89.
La CVE-2024-34750 è ancora in attesa di analisi per il NIST, pertanto non è possibile quantificare il suo valore di rischio.
La vulnerabilità CVE-2024-34750 in Apache Tomcat rappresenta una minaccia significativa per la disponibilità del servizio. È essenziale mantenere il software aggiornato, configurare correttamente i limiti di risorse e implementare misure di monitoraggio e sicurezza per proteggere il sistema da possibili attacchi DoS. Adottare un approccio proattivo alla sicurezza può aiutare a mitigare i rischi associati a questa e altre vulnerabilità simili. Si consiglia di aggiornare le versioni di Tomcat alle versioni patchate : 11.0.0-M21 10.1.25 or 9.0.90.
Raffaela CrisciDal 12 novembre 2025, l’AGCOM ha riportato che in linea con l’art. 13-bis del decreto Caivano (dl123/2023), 47 siti per adulti raggiungibili dall’Italia avrebbero dovuto introdurre un sistema di...
Centinaia di milioni di utenti di smartphone hanno dovuto affrontare il blocco dei siti web pornografici e l’obbligo di verifica dell’età. Nel Regno Unito è in vigore la verifica obbligatoria de...
Dalle fragilità del WEP ai progressi del WPA3, la sicurezza delle reti Wi-Fi ha compiuto un lungo percorso. Oggi, le reti autodifensive rappresentano la nuova frontiera: sistemi intelligenti capaci d...
Siamo ossessionati da firewall e crittografia. Investiamo miliardi in fortezze digitali, ma le statistiche sono inesorabili: la maggior parte degli attacchi cyber non inizia con un difetto nel codice,...
Un raro ritrovamento risalente ai primi giorni di Unix potrebbe riportare i ricercatori alle origini stesse del sistema operativo. Un nastro magnetico etichettato “UNIX Original From Bell Labs V4 (V...
