Фонд Apache Software Foundation выпустил обновления для популярного сервера приложений Apache Tomcat. Разработчики устранили сразу семь уязвимостей, которые затрагивают версии 9.0, 10.1 и 11.0. Наибольшую опасность представляют две проблемы умеренной степени риска, однако даже низкие уязвимости в совокупности могут создать серьёзные риски для инфраструктуры. Злоумышленник может отправить специально сформированный запрос и добиться либо отказа в обслуживании, либо обхода ограничений безопасности.
Детали уязвимостей
Первый блок касается механизмов контроля доступа. Уязвимость с идентификатором CVE-2026-43515 относится к категории умеренных. Суть её в том, что при настройке нескольких ограничений безопасности для одного и того же расширения файла сервер применял только первое из них. Иными словами, администратор мог прописать жёсткие правила для доступа к определённым ресурсам, но Tomcat просто игнорировал все последующие. Это позволяло обойти защиту и получить доступ к тем объектам, которые должны быть закрыты.
Ещё одна умеренная уязвимость - CVE-2026-43512 - связана с DIGEST-аутентификацией (метод проверки подлинности, основанный на хешировании пароля). Оказалось, что если злоумышленник указывал пароль, равный строке "null", то сервер аутентифицировал его под любым несуществующим пользователем. Атакующий мог войти в систему, представившись, например, "admin", и указав пустой пароль в виде слова null. Администраторам, использующим дайджест-аутентификацию, следует немедленно обновить Tomcat.
Группа низких уязвимостей включает проблемы, которые на первый взгляд кажутся менее критичными, но при определённых условиях позволяют проводить более опасные атаки. Так, уязвимость CVE-2026-43514 затрагивает протокол AJP (протокол связи между веб-сервером и контейнером сервлетов). Секретный ключ AJP сервер сравнивал с введённым значением не за постоянное время, а за время, зависящее от данных. Это позволяет злоумышленнику в локальной сети провести временную атаку и подобрать секрет. Получив секрет AJP, он сможет перенаправлять трафик и внедрять вредоносные запросы.
Следующая низкая уязвимость - CVE-2026-43513 - касается компонента LockOutRealm, который блокирует учётные записи после нескольких неудачных попыток входа. Разработчики обнаружили, что LockOutRealm сравнивал имена пользователей с учётом регистра. В реальности же многие механизмы аутентификации (например, на основе базы данных) не различают регистр символов. Из-за этого злоумышленник мог многократно перебирать пароли, меняя только регистр букв в имени, а система не блокировала его, так как считала каждую попытку входом от нового пользователя.
Уязвимость CVE-2026-42498 связана с протоколом WebSocket (протокол для двусторонней связи в реальном времени). Если после успешной аутентификации запрос WebSocket перенаправлялся на другой хост, то клиент Tomcat передавал этому хосту заголовок с данными аутентификации. Тем самым секретные данные могли попасть к третьей стороне, что чревато компрометацией учётных записей.
Ещё одна низкая уязвимость - CVE-2026-41293 - касается протокола HTTP/2 (вторая версия протокола передачи гипертекста). Заголовки запросов HTTP/2 не проходили проверку на соответствие спецификации. Если разработчик приложения обоснованно полагал, что значения заголовков соответствуют стандарту, то некорректный заголовок мог вызвать неожиданное поведение программы. В худшем случае это приводило к ошибкам в логике приложения или даже к раскрытию информации.
Наконец, уязвимость CVE-2026-41284 затрагивает расширение WebDAV (протокол для коллективной работы с файлами через HTTP). Сервер не ограничивал размер тела запросов LOCK и PROPFIND. При этом такие запросы мог отправлять любой неаутентифицированный пользователь. Отправив огромное количество данных, злоумышленник мог вызвать исчерпание памяти или переполнение диска, приведя сервер к отказу в обслуживании.
Все перечисленные проблемы исследователи сообщили команде безопасности Tomcat в апреле 2026 года. Разработчики оперативно подготовили исправления, которые вошли в версии 9.0.118, 10.1.55 и 11.0.22. Патчи опубликованы на официальном сайте проекта. Администраторам настоятельно рекомендуется как можно скорее обновить свои серверы. Учитывая, что сведения об уязвимостях стали общедоступны в середине мая, злоумышленники уже могли начать эксплуатацию. Промедление с обновлением грозит не только простоем системы, но и утечкой данных или получением несанкционированного доступа к критической информации.
Tomcat остаётся одним из самых распространённых серверов приложений в мире, его используют тысячи компаний, облачные платформы и государственные учреждения. Каждое обновление безопасности, особенно с исправлением умеренных уязвимостей, требует немедленного внимания администраторов. В данном случае часть проблем позволяет обойти аутентификацию или получить секретные ключи, что делает атаки особенно опасными. Своевременная установка патчей - единственный способ гарантировать защиту от уже известных векторов.
Ссылки
- https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.118
- https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.55
- https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.22
