Laburpen exekutiboa
Bi ahultasun kritiko identifikatu dira Apache Tomcat-en, HPE softwarean eragina dutenak. Lehenengoa, 9.8ko larritasunarekin sailkatua, erasotzaileei segurtasun-arau batzuk saihesteko aukera ematen die, bereziki manipulatutako eskaeren bidez, berridazketa-arauen konfigurazio oso zehatzak ematen badira. Bigarrena, 7.5eko larritasunarekin, memoria-ihes bat eragiten du HTTP goiburu baliogabeen erroreen kudeaketa desegokiaren ondorioz, eta horrek zerbitzu-ukapen batera eraman dezake eskaera huts ugari gertatuz gero. Bi arazoak arindu daitezke Apache Tomcat gomendatutako bertsioetara eguneratuz.
Eragindako baliabideak
- HPE Telco Service Orchestrator softwarea (HPE Telco Service Orchestrator - 5.3.2 bertsioa baino lehenagokoa)
Azterketa teknikoa
- CVE-2025-31651: Apache Tomcat-en ihes-sekuentzia, metadatu edo kontrol ezegoki neutralizatzearen kalteberatasuna. Berridazketa arauen konfigurazio gutxi probableren azpimultzo batean, eskari berezi bat berridazketa arau batzuk saihestu ahal izango luke. Segurtasun-murrizpenak eraginkortasunez aplikatzen baziren, hauek saihestu ahal izango lirateke. Arazo hau Apache Tomcat-en eragiten du: 11.0.0-M1etik 11.0.5era, 10.1.0-M1etik 10.1.39era eta 9.0.0.M1etik 9.0.102ra. Erabiltzaileei [FIXED_VERSION] bertsiora eguneratzea gomendatzen zaie, arazoa konpontzen duena.
- CWE-116
- CVSS: 9.8 (kritikoa)
- CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- Explotazioa: Ez da antzeman
- CVE-2025-31650: Apache Tomcat-en sarrera-egiaztapen ezegonkorreko kalteberatasuna. Zenbait HTTP goiburuko lehentasun ezegonkorren erroreen kudeaketa ezegokia eskaera hutsaren garbitze ezegokia eragin zuen, memoria-ihesa sortuz. Eskaera mota honen kopuru handia OutOfMemoryException salbuespena eragin dezake, zerbitzu-ukapena eragin dezakeena. Arazo hau Apache Tomcat-en eragiten du: 9.0.76tik 9.0.102ra, 10.1.10etik 10.1.39ra eta 11.0.0-M2tik 11.0.5era. Gomendatzen da 9.0.104, 10.1.40 edo 11.0.6 bertsioetara eguneratzea, arazoa konpontzen dutenak.
- CWE-459
- CVSS: 7.5 (altua)
- CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- Explotazioa: Ez da antzeman
Arintzea/Konponbidea
Hewlett Packard Enterprisek bi segurtasun kalteberatasun posible identifikatu ditu HPE Telco Service Orchestrator softwarean, eta hauek urrutitik esplotatu daitezke, zerbitzu-ukapena (DoS) eragin dezakete eta sarbide-murrizpenak saihestu. Arazo hauek arintzeko, HPEk software eguneraketa bat eskaini du. Erabiltzaileei HPE Telco Service Orchestrator v5.3.2 edo hurrengo softwarea eguneratzea gomendatzen zaie. Eguneraketa hau https://myenterpriselicense.hpe.com/ helbidean dago erabilgarri. Kontuan izan "HPE Service Director" softwarea "HPE Telco Service Orchestrator" izenarekin berrizendatu dela. "HPE Service Director"-era abonatuta bazen, mesedez, orain "HPE Telco Service Orchestrator"-era harpidetu zaitez.