Apache Tomcat’ın CVE-2025-53506 olarak izlenen Coyote motorunda yeni açıklanan bir kusur, HTTP/2 güvenlik danışmanlarının son turunda ortaya çıktı.
İlk olarak beş gün önce Ulusal Güvenlik Açığı Veritabanında not edilen zayıflık, Coyote’un bir HTTP/2 istemci sunucunun başlangıçını asla kabul etmediğinde eşzamanlı akışlarda sert bir sınır uygulanmamasından kaynaklanmaktadır. Ayarlar çerçeve.
Hiçbir zaman kapalı olmayan akışları tekrar tekrar başlatarak, uzak bir saldırgan sunucunun iş parçacığı havuzunu tüketebilir ve gizlilik ve bütünlük etkilenmemiş olsa da, konteyneri uzun bir hizmet reddi durumuna zorlayabilir.
İstismar sıradan TCP bağlantı noktası 443 trafiğine bindiğinden, güvenlik duvarları şüpheli bir şey görmüyor; Saldırı karmaşıklığı düşük kalır ve kimlik bilgileri gerekmez.
Github analistleri daha sonra sorunu, dinamik akış sınırları ekleyen, yeniden düzenleme kanıtı trafik yakalamaları yayınlayan yeniden düzenleyici sırasında tanıtılan bir yarış koşuluna kadar izledi.
Güvenlik açığı, bakım yapılan her dal: 11.0.0-m1 ila 11.0.8, 10.1.0-M1 ila 10.1.42 ve 9.0.0.m1 ila 9.0.106.
Apache, 11.0.9, 10.1.43 ve 9.0.107 sabit sürümlerini yayınladı; Hemen yükseltemeyen yöneticiler en azından HTTP/2’yi devre dışı bırakmalı veya sınırlamalı maxConcurrentStreams Servis kesintilerini önlemek için ters proksi katmanında.
CVSS V4, DOS merkezli profilinin altını çizerek, diğer etki metriklerini hiçbiri bırakırken, kullanılabilirliği yüksek olarak etiketleyerek kusur 6.3’ü puan alır.
Akışlı Mekanizma Mekanizması’ndan yararlanmak
Uygulamada, saldırgan tek bir TLS oturumunu açık tutar ve aşağıdaki yükü döndürür:-
PRI * HTTP/2.0\r\n\r\nSM\r\n\r\n ; connection pre-face
…SETTINGS (ACK omitted) ; server settings ignored
HEADERS END_STREAM=0 … ; open stream 1
HEADERS END_STREAM=0 … ; open stream 2
/* repeat until thread pool saturation */Tomcat, herhangi bir gerçek veri almadan önce akış başına bir işçi tahsis ettiğinden, her yetim akış süresiz olarak bir iş parçacığını bağlar.
Yürütücü kuyruğu maksimuma çıktığında, meşru zaman aşımı talep eder ve JVM’yi çökertmeden siteyi etkin bir şekilde çevrimdışı olarak devirir.
Bir Settings-ACK Zaman aşımını veya sert akış tavanı uygulayan modern ters vekiller, saldırıyı nötralize ederek, tam yama dağıtımına kadar yukarı akış hafifletmeyi pratik hale getirir.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi