Apache закрывает три уязвимости в Tomcat, угрожавшие перехвату трафика и обходу аутентификации

Фонд программного обеспечения Apache выпустил экстренные обновления безопасности для веб-сервера Apache Tomcat, устраняющие три вновь обнаруженные уязвимости. Учитывая повсеместное использование Tomcat в корпоративных средах для размещения веб-приложений, эти недостатки представляют значительный риск для тысяч организаций по всему миру. Обнаруженные проблемы позволяют злоумышленникам подрывать шифрование передаваемых данных, обходить ранее установленные исправления и нарушать процедуру проверки клиентских сертификатов. Системным администраторам настоятельно рекомендуется незамедлительно изучить официальные бюллетени и применить необходимые патчи для защиты своей веб-инфраструктуры.

Детали уязвимостей

Первая и наиболее серьёзная уязвимость, получившая идентификатор CVE-2026-29146, была обнаружена исследователями Ури Кацем и Ави Лумельски из компании Oligo Security. Проблема затрагивает компонент EncryptInterceptor, который по умолчанию использовал режим сцепления блоков шифротекста (CBC). Этот криптографический режим, при определённых условиях, неявно делает сервер уязвимым для так называемой атаки оракула дополнения (padding oracle attack). Если объяснять простыми словами, эта атака позволяет злоумышленнику постепенно расшифровывать перехваченный зашифрованный трафик, анализируя реакцию сервера на специально сформированные запросы с некорректным "дополнением" данных. В конечном счёте, эта криптографическая слабость открывает возможность для манипуляции зашифрованными сессионными данными. Под удар попадают версии Apache Tomcat 11.0.0-M1-11.0.18, 10.1.0-M1-10.1.52 и 9.0.13-9.0.115.

Вторая проблема, зарегистрированная как CVE-2026-34486, является прямым следствием попытки исправить первую. Разработчики выпустили патч для CVE-2026-29146, однако ошибка в коде этого исправления, обнаруженная Бартоломеем Дмитруком из striga.ai, привела к новой уязвимости уровня "важно". Она позволяет полностью обойти защиту, обеспечиваемую компонентом EncryptInterceptor. Таким образом, системы, на которых были установлены именно эти исправлённые выпуски (Tomcat 11.0.20, 10.1.53 и 9.0.116), оставались подвержены рискам перехвата и подмены трафика. Этот инцидент наглядно демонстрирует важность оперативного развёртывания вторичных патчей, когда первоначальные исправления оказываются неполными или ошибочными.

Третья уязвимость, CVE-2026-34500, оценённая как умеренная, была найдена Харуки Ояма из Университета Васэда. Она связана с процедурой проверки цифровых сертификатов клиентов. Протокол онлайн-проверки статуса сертификата (OCSP) предназначен для подтверждения того, что предъявленный сертификат не был отозван. Однако в определённой конфигурации, когда использовался API внешних функций и памяти (Foreign Function & Memory API, FFM) и функция "мягкого" отказа была явно отключена, проверки OCSP всё равно могли завершаться таким "мягким" отказом. В результате система аутентификации по клиентским сертификатам ошибочно доверяла потенциально недействительным сертификатам, не блокируя несанкционированный доступ, как это предполагалось настройками. Эта проблема затрагивает версии Tomcat 11.0.0-M14-11.0.20, 10.1.22-10.1.53 и 9.0.92-9.0.116.

Для устранения всех трёх уязвимостей Фонд Apache настоятельно рекомендует пользователям немедленно обновить свои серверные среды. Системным администраторам необходимо выполнить переход на версии Apache Tomcat 11.0.21, 10.1.54 или 9.0.117 в зависимости от используемой ветки разработки. Установка этих последних выпусков гарантирует, что компонент EncryptInterceptor будет функционировать безопасно, а аутентификация по клиентским сертификатам станет работать строго в соответствии с заданной конфигурацией, исключая возможность обхода. В контексте современных угроз подобные уязвимости в столь распространённом ПО подчёркивают критическую необходимость своевременного управления обновлениями и тщательного тестирования патчей даже от доверенных источников.

Детали уязвимостей

Ссылки