Apache Yazılım Vakfı, Tomcat Coyote modülünde, özellikle Maven Artifact org.apache.tomcat: Tomcat-Coyote içinde, kötü niyetli aktörlerin hizmet reddi (DOS) saldırılarını düzenlemesini sağlayabilen bir güvenlik açığı ortaya koydu.
Bu kusur, HTTP/2 protokol işlemesine bağlı kontrolsüz bir kaynak tüketimi sorunundan kaynaklanmaktadır ve potansiyel olarak saldırganların akış eşzamanlılık sınırlarını manipüle ederek sunucu kaynaklarını ezmelerine izin verir.
Web uygulaması barındırma için Enterprise Java ortamlarında TOMCAT’ın yaygın kullanımı göz önüne alındığında, Apache Tomcat’a güvenen sistem yöneticileri ve geliştiricilerinin dağıtımlarını derhal değerlendirmeleri istenir.
Kritik HTTP/2 güvenlik açığı maruz kaldı
Güvenlik açığı, bir HTTP/2 istemcisi, bir bağlantıda izin verilen maksimum eşzamanlı akış sayısı gibi parametreleri müzakere etmekten sorumlu olan başlangıç ayarları çerçevesini kabul edemediğinde ortaya çıkar.
Etkilenen sürümlerde, Tomcat’ın Coyote HTTP/2 uygulaması, onay yoksa, bu sınırları düzgün bir şekilde uygulamaz, bu da sunucunun sınırsız aşırı sayıda akışı işleyebileceği bir senaryoya yol açar.
Rapora göre, bu kontrolsüz davranış sunucu iş parçacıklarını, bellek veya CPU kaynaklarını tüketebilir ve sunucuyu meşru isteklere yanıt vermez.
Teknik olarak, tek bir TCP bağlantısı üzerinden birden fazla istek sağlayarak performansı artırmak için tasarlanan HTTP/2’nin çoğullama özelliği, burada kötüye kullanım için bir vektör haline gelir.
Kullanılansa, bir saldırgan bir bağlantı başlatabilir, ayarların onayını yok sayabilir ve sunucuyu akış istekleriyle doldurabilir ve protokolün spesifikasyonunda tanımlanan eşzamanlılık kapaklarını atlayabilir (RFC 7540).
Bu sadece hizmet kullanılabilirliğini bozmakla kalmaz, aynı zamanda Tomcat’in Spring Boot gibi çerçevelerle oluşturulan uygulamalarda gömülü sunucu uygulaması kapsayıcısı olarak hizmet verdiği yüksek trafikli ortamlarda riski de artırır.
Etkilenen sürümler
Sorun, özellikle 11.0.0-M1’den 11.0.9’a kadar, 10.1.0-M1’den 10.1.43’e kadar ve 9.0.0.m1’den 9.0.107’ye kadar değil, ancak dahil edilmemeyen çok çeşitli TOMCAT sürümlerini etkiler.
Birkaç yıllık gelişimi kapsayan bu kilometre taşları ve istikrarlı sürümler, bu kusurun Tomcat’ın evrimi boyunca kalıcılığını vurgulamaktadır.
Örneğin, Java 8’i destekleyen eski sistemler için hala kullanılan 9.x şube, gelişmiş HTTP/2 desteği ve iyileştirilmiş güvenlik sertleştirmesi gibi modern özellikleri içeren daha yeni 10.x ve 11.x satırları gibi özellikle savunmasızdır.
Apache ekibi, kök nedeni Coyote konnektörünün akış yönetimi mantığının derinliklerinde bulunduğundan, hiçbir geçici çözümün yükseltme kısa olmadığını doğruladı.
Bu riski azaltmak için, kullanıcılara yamalı sürümlere yükseltmeleri tavsiye edilir: en son kararlı şube için 11.0.9, 10.x serisinde olanlar için 10.1.43 veya eski sürümlerle kısıtlanan ortamlar için 9.0.107.
Bu güncellemeler, katı onay kontrollerini uygulayan ve eşzamanlı akışları sağlam bir şekilde sınırlayan düzeltmeleri içerir ve uyumlu olmayan istemciler karşısında bile kaynak tükenmesini önler.
Tomcat-coyote genellikle Tomcat-embed çekirdek veya tam Tomcat dağılımları yoluyla geçişte çekildiğinden, geliştiriciler maven bağımlılıklarını doğrulamalıdır.
Üretim ayarlarında, ağ katmanında hız sınırlaması veya Apache HTTP sunucusu veya Nginx gibi ters proxy’leri kullanmak gibi ek korumaların uygulanması, temel güvenlik açığını ele almasalar da ara koruma sağlayabilir.
Bu açıklama, protokol karmaşıklıklarının ince hizmet reddi vektörlerine yol açabileceği HTTP/2 uygulamalarında devam eden zorlukların altını çizmektedir.
Tarihsel olarak, Tomcat, başlık ayrıştırma ve bağlantı işleme ile ilgili geçmiş CVE’ler gibi benzer sorunlarla karşılaştı ve protokol yığınlarında titiz test ihtiyacını vurguladı.
Kuruluşlar, OWASP bağımlılık kontrolü gibi araçları kullanarak güvenlik açığı taramaları yapmalı veya bu tür tehditlerin önünde kalmak için otomatik güncellemeleri CI/CD boru hatlarına entegre etmelidir.
Tomcat’in küresel olarak sayısız web uygulamasına güç vermesiyle, özellikle kesinti ve e-ticaret gibi sektörlerde duruşun önemli kayıplara dönüştüğü potansiyel kesintileri önlemek için hızlı eylem gereklidir.
Apache Vakfı, ilgili istismarları izlemeye devam ediyor ve bu tarihten itibaren aktif bir şekilde aktif saldırı bildirilmedi, ancak giderek artan siber tehditler döneminde uyanıklık önemli.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.