Критическая уязвимость в Apache Tomcat позволяет удалённо обойти авторизацию: под угрозой серверы на Ubuntu, Debian и РЕД ОС

В Банк данных угроз безопасности информации (BDU) поступило уведомление о новой уязвимости, затрагивающей популярный сервер приложений Apache Tomcat. Проблема получила идентификаторы BDU:2026-08080 и CVE-2026-43515. Уязвимость классифицирована как ошибка неправильной авторизации (CWE-285 - тип дефекта по общей классификации слабых мест). Уровень опасности оценён как критический: по стандарту CVSS 3.1 балл составляет 9,1 из 10, а по более ранней версии CVSS 2.0 - 9,4 из 10. Это означает, что эксплуатация не требует ни аутентификации, ни сложных условий - достаточно сетевого доступа к уязвимому серверу.

Детали уязвимости

Суть проблемы в том, что механизм проверки прав доступа в Apache Tomcat работает некорректно. Злоумышленник, действующий удалённо, может отправить специально сформированный запрос и обойти процедуру авторизации. В результате нарушитель получает несанкционированный доступ к защищаемой информации, хранящейся или обрабатываемой сервером. Атака не затрагивает доступность системы (отказ в обслуживании невозможен), но ставит под удар конфиденциальность и целостность данных. В худшем случае это может привести к утечке учётных записей, исходных кодов приложений, персональных данных клиентов или коммерческих секретов.

Уязвимость охватывает широкий спектр версий Apache Tomcat. Подтверждено, что проблемными являются сборки начиная с 9.0.0.M1 и до 9.0.17 включительно, а также ветки 10.1 (от 10.1.0-M1 до 10.1.54) и 11.0 (от 11.0.0-M1 до 11.0.21). Таким образом, под угрозой находятся все основные линейки продукта, используемые в современной инфраструктуре. Кроме того, уязвимыми признаны операционные системы, в состав которых входит проблемная версия Tomcat. В списке значатся дистрибутивы Ubuntu (начиная от 14.04 LTS и заканчивая 26.04 LTS), Debian GNU/Linux версий 11, 12 и 13, а также отечественная операционная система РЕД ОС (запись в едином реестре российских программ №3751) версий 7.3 и 8.0. Такое разнообразие платформ делает уязвимость особенно опасной - она затрагивает как зарубежные облачные системы, так и российские государственные информационные системы, построенные на базе РЕД ОС.

Стоит отметить, что уязвимость подтверждена производителем Apache Software Foundation. Специалисты уже выпустили исправления, закрывающие брешь. Для каждой ветки Tomcat подготовлены обновлённые версии, в которых ошибка авторизации устранена. Производители операционных систем также оперативно отреагировали: для Ubuntu, Debian и РЕД ОС выпущены соответствующие патчи. Таким образом, администраторам требуется как можно скорее обновить Apache Tomcat до актуальной версии, а также применить обновления безопасности для используемого дистрибутива.

По данным открытых источников, на момент публикации сведений об эксплойте информация уточняется. Однако учитывая высокий балл CVSS и простоту атаки (достаточно сетевого запроса без аутентификации), можно ожидать появления готовых инструментов для эксплуатации в ближайшее время. Игнорирование уведомления может привести к серьёзным последствиям: компрометация серверов приложений часто становится первым шагом в цепочке атак на внутренние сети организаций.

Для специалистов по информационной безопасности первоочередная задача - провести инвентаризацию всех экземпляров Apache Tomcat в своей инфраструктуре и проверить их версии. Если используется одна из уязвимых сборок, необходимо немедленно установить патчи. Ссылки на официальные бюллетени прилагаются в уведомлении BDU, а также доступны на сайтах Apache Software Foundation и производителей операционных систем. Помимо обновления, стоит временно ограничить сетевой доступ к серверам Tomcat из ненадёжных сетей, если развёртывание патчей требует времени.

В целом, ситуация напоминает о том, что даже зрелые и широко распространённые продукты не застрахованы от архитектурных ошибок. Уязвимость авторизации является одной из самых критичных категорий, поскольку напрямую подрывает базовый принцип контроля доступа. Регулярное обновление программного обеспечения и мониторинг бюллетеней безопасности остаются единственной надёжной защитой от таких угроз. Организациям, использующим РЕД ОС, стоит обратить особое внимание на своевременную установку обновлений, так как инфраструктуры на базе данного дистрибутива часто обрабатывают конфиденциальную информацию.

Пока технические детали уязвимости остаются в ограниченном доступе, но уже ясно, что её эксплуатация не требует сложных навыков. Каждый день промедления увеличивает риск проникновения злоумышленников в корпоративный периметр. Ответственные за безопасность должны действовать безотлагательно.