La Apache Software Foundation realizo tres correcciones de vulnerabilidades importantes que afectan a las rama de servidores 6, 7, 8 y 9 de Apache Tomcat, dicha vulnerabilidad podría permitir a los atacantes provocar condiciones de denegación de servicio o la obtención de información sensible.

Apache Tomcat es un servidor web que funciona como contenedor de servlets, desarrollado en código abierto por Apache Software Foundation.

La primera vulnerabilidad, “importante”, reside en un fallo en el tratamiento de peticiones entubadas la cual podría permitir la obtención de información sensible. Afectando a las versiones 6.0.0 a 6.0.52, 7.0.0 a 7.0.76, 8.0.0.RC1 a 8.0.42, 8.5.0 a 8.5.12 y 9.0.0.M1 a 9.0.0.M18.

La segunda afecta a los conectores HTTP para versiones 8.5.x en adelante donde introduce una regresión en el tratamiento del envío de archivos cuando se completa rápidamente. Afecta a versiones 8.5.0 a 8.5.12 y 9.0.0.M1 a 9.0.0.M18.

Y la ultima es del tito de tratamiento de un frame HTTP/2 GOAWAY para una conexión donde no cierra los flujos asociados con esa conexión que estaban esperando un WINDOW_UPDATE antes de permitir que la aplicación escriba más datos.
Más información:

Fixed in Apache Tomcat 9.0.0.M19
Fixed in Apache Tomcat 8.0.43
Fixed in Apache Tomcat 8.5.13
Fixed in Apache Tomcat 7.0.77
Fixed in Apache Tomcat 6.0.53