.webp?w=696&resize=696,0&ssl=1 "Apache Tomcat Güvenlik Açığı")
Apache Software Foundation, Apache Tomcat’te saldırganların güvenlik kurallarını atlamasına ve manipüle edilmiş HTTP öncelik başlıkları yoluyla hizmet reddi koşullarını tetiklemesine izin verebilecek önemli bir güvenlik açığı açıkladı.
CVE-2025-31650 olarak tanımlanan bu yüksek şiddetli güvenlik açığı, bu popüler Java uygulama sunucusuna dayanan kuruluşlar için önemli bir güvenlik riski oluşturan birden fazla TOMCAT sürümünü etkiler.
Apache Tomcat Güvenlik Açığı Reddi
Güvenlik açığı, Apache Tomcat’ın HTTP öncelik başlıklarını ele almasında uygunsuz giriş validasyonundan kaynaklanmaktadır.
.png
)
Güvenlik Danışmanlığına göre, “Bazı geçersiz HTTP öncelik başlıkları için yanlış hata işleme, bir bellek sızıntısı oluşturan başarısız isteğin eksik temizlenmesine neden oldu”.
Saldırganlar, geçersiz HTTP öncelik başlıkları içeren çok sayıda kötü biçimlendirilmiş istek gönderdiklerinde, uygulamayı kullanılamayan bir hizmet reddine neden olan bir outofMemoryException’ı tetikleyebilirler.
HTTP Öncelik başlığı, bir müşterinin yanıtların verilmesi gereken öncelik sırası tercihini gösteren Web iletişiminin meşru bir bileşenidir.
Bununla birlikte, bu yeni güvenlik açığı, Tomcat’in bu başlıkları işlenmesinin, girdiyi doğru bir şekilde doğrulayamayan ve sterilize edemeyen bir kusur içerdiğini göstermektedir.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Apache Tomcat 9.0.76–9.0.102APACH TOMCAT 10.1.10–10.1.39APACHE TOMCAT 11.0.0-M2–11.0.5 |
| Darbe | Hizmet Reddi (DOS) |
| Önkoşuldan istismar | Saldırgan, geçersiz HTTP öncelik başlıklarına sahip çok sayıda HTTP isteği göndermelidir; Kimlik doğrulama gerekmez |
| CVSS 3.1 puanı | Yüksek |
Etkilenen sürümler
Güvenlik açığı aşağıdaki Apache Tomcat sürümlerini etkiler:
- Apache Tomcat 11.0.0-m2 ila 11.0.5
- Apache Tomcat 10.1.10 ila 10.1.39
- Apache Tomcat 9.0.76 ila 9.0.102
Bu sürümlerin kullanıcıları hemen yamalı sürümlere yükseltmeyi düşünmelidir.
Güvenlik açığı, Tomcat’in bellek kaynaklarını nasıl ele aldığını kullanıyor. Sunucu geçersiz bir HTTP öncelik başlığı aldığında, bir bellek sızıntısı oluşturarak kaynakları düzgün bir şekilde temizleyemez.
Raporda belirtildiği gibi, “bu tür çok sayıda talep, bir hizmet reddi ile sonuçlanan bir outofMemoryException’ı tetikleyebilir”.
Bu, önceki Java uygulama bellek sorunlarını anımsatır. Bir sistem yöneticisinin önceki olaylarda belirttiği gibi, “Tomcat kullanılmayan belleği serbest bırakamaz. Sadece belleği ekler ve tahsis edilen maksimum belleğe ulaşır”.
Azaltma
Apache Software Foundation, aşağıdaki azaltımı önermektedir:
- Apache Tomcat 11.0.6 veya üstüne yükseltme
- Apache Tomcat 10.1.40 veya üstüne yükseltme
- Apache Tomcat 9.0.104 veya üstüne yükseltme
Sürüm 9.0.103 bu konu için düzeltmeler içermesine rağmen, “9.0.103 sürüm adayı için yayın oyu geçmedi”, bu nedenle bu sürüm düzeltmeyi içermesine rağmen etkilenen sürümler arasında yer almıyor.
Bu, son aylarda ikinci büyük Apache Tomcat güvenlik açığını işaret ediyor. Mart 2025’te CVE-2025-24813 açıklandı, bu da saldırganların savunmasız sunucuların kontrolünü ele geçirmesine izin veren 9.8 CVSS skoru olan kritik bir uzaktan kod yürütme güvenlik açığı.
Bu güvenlik açığının kritik doğası ve web uygulamalarını tamamen devre dışı bırakma potansiyeli göz önüne alındığında, acil eylem şiddetle tavsiye edilir.
SOC ve DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.