Уязвимость в Apache Tomcat позволяет обойти проверку отзыва сертификатов: вышли обновления безопасности

Apache Tomcat

Фонд Apache Software Foundation выпустил важные обновления безопасности для своего популярного сервера приложений Apache Tomcat. Специалисты обнаружили уязвимость, которая позволяет удалённому злоумышленнику обойти проверку статуса отзыва цифровых сертификатов. Эта проблема затронула сразу несколько веток продукта, включая версии 9, 10 и 11. Для администраторов это означает, что атакующий может выдать просроченный или отозванный сертификат за действительный, что открывает путь для перехвата или подмены трафика.

Суть проблемы и затронутые системы

В центре внимания оказалась уязвимость, зарегистрированная под идентификатором CVE-2026-24734 (общепринятая система идентификации уязвимостей). Её суть кроется в некорректной обработке ответов от OCSP-responder’ов (протокол проверки статуса сертификатов в реальном времени). Как поясняют эксперты, при использовании OCSP-responder’а в интеграции Tomcat с OpenSSL не выполнялась полная проверка валидности и "свежести" полученного ответа. Проще говоря, программа просто не удостоверялась, что ответ об отзыве сертификата актуален, и доверяла устаревшим данным.

В зону риска попали следующие линейки продукта: Apache Tomcat 9.0.83 - 9.0.114, Apache Tomcat 10.1.0-M7 - 10.1.51, а также Apache Tomcat 11.0.0-M1 - 11.0.17. Важно подчеркнуть, что разработчики уже закрыли брешь. Если вы используете более старые сборки, входящие в указанные диапазоны, ваш сервер находится под угрозой. Примечательно, что проблема также коснулась и библиотеки Tomcat Native, через которую Tomcat взаимодействует с OpenSSL на уровне операционной системы. Там уязвимыми оказались версии с 1.3.0 по 1.3.4 и с 2.0.0 по 2.0.11.

Специалисты фонда оценивают уровень угрозы как "умеренный". На первый взгляд это не критические 10 баллов из 10, но на практике последствия могут быть серьёзными. Успешная эксплуатация уязвимости позволяет злоумышленнику обойти механизмы безопасности и, по сути, игнорировать тот факт, что сертификат был отозван.

Почему это важно для бизнеса?

Представьте себе корпоративную информационную систему, где сервер Tomcat используется как фронтальный элемент для обработки запросов, например, в интернет-банкинге или на портале госуслуг. Протокол OCSP (Online Certificate Status Protocol) - это стандартный механизм, который позволяет проверить, не был ли сертификат клиента или сервера отозван до окончания срока действия. Злоумышленник может использовать украденный сертификат, который уже числится в "чёрных списках" удостоверяющего центра. В обычной ситуации при обращении к серверу OCSP-responder’у последний даёт однозначный ответ: "сертификат отозван, соединение прерывается".

Из-за найденной ошибки сервер доверяет ответу, не проверяя его подлинность по времени. Атакующий может перехватить старый, но корректно подписанный ответ и "скормить" его уязвимому Tomcat. Сервер, не проверив свежесть данных, продолжит работу с потенциально скомпрометированным узлом. Это классический пример атаки по принципу "человек посередине" - злоуремышленник может вклиниться в зашифрованное соединение между клиентом и сервером.

Как это работает на техническом уровне (без лишних деталей)

Если опустить сложные детали реализации и кода, то логику атаки можно описать так. При установке защищённого соединения и проверке сертификата клиента (например, при входе сотрудника по корпоративной smart-карте) сервер Tomcat отправляет запрос в центр сертификации. В ответ он получает подписанный документ, подтверждающий статус сертификата. Уязвимость заключается в том, что модуль интеграции Tomcat (так называемый FFM порт - Foreign Function & Memory API, механизм для взаимодействия Java-кода с нативными библиотеками) не проверяет, насколько этот ответ свежий. Атакующий может записать один старый положительный ответ и воспроизводить его снова и снова, даже если сертификат пользователя уже был отозван по причине увольнения сотрудника или компрометации данных.

Рекомендации по защите

Фонд Apache Software Foundation уже выпустил исправленные версии. Разработчикам и системным администраторам необходимо как можно скорее обновить Tomcat до следующих сборок: для ветки 9.0 - это версия 9.0.115, для линейки 10.1 - версия 10.1.52, а для серии 11.0 - версия 11.0.18. Для библиотеки Tomcat Native актуальными являются версии 1.3.5, 2.0.12 и новее.

Важно отметить, что патчи в виде бинарных файлов отдельно не распространяются. Поэтому единственный способ устранить угрозу - полное обновление сервера. Если по каким-то причинам апгрейд невозможен немедленно, специалисты советуют временно отключить или перенастроить использование OCSP, хотя это и снизит общий уровень безопасности инфраструктуры. Промедление в данном случае - это риск столкнуться с кражей данных или компрометацией доверенных соединений.

Ссылки

Комментарии: 0