Apache Tomcat’ın HTTP/2 uygulamasında kritik bir güvenlik açığı keşfedildi ve bu da saldırganların web sunucularına karşı yıkıcı Hizmet Reddi (DOS) saldırıları başlatmasını sağladı.
CVE-2025-48989 olarak adlandırılan ve “Made You Sıfırlama” saldırısı olarak adlandırılan güvenlik açığı, popüler Java sunucu uygulaması konteynerinin birden fazla sürümünü etkiler ve dünya çapında web uygulamaları için önemli riskler oluşturur.
Yüksek ciddiyet olarak derecelendirilen güvenlik kusuru, Apache Tomcat sürümlerini 11.0.0-m1 ila 11.0.9, 10.1.0-M1 ila 10.1.43 ve 9.0.0.m1 ila 9.0.107 ile etkiler.
Key Takeaways
1. Apache Tomcat's HTTP/2 flaw enables attackers to crash servers.
2. Affects Tomcat versions 9.0.0-11.0.9, potentially impacting thousands of web servers globally.
3. Immediately upgrade to prevent exploitation.
Yaşam sonu sürümleri de savunmasız olabilir ve küresel olarak binlerce web sunucusunu potansiyel olarak etkileyebilir.
Güvenlik açığı, 13 Ağustos 2025’te bulgularını açıklayan Tel Aviv Üniversitesi’nden güvenlik araştırmacıları Gal Bar Nahum, Anat Bremler-Barr ve Yaniv Harel tarafından tanımlandı.
Apache Tomcat’ta HTTP/2’den yararlanıyor
“Sıfırla” saldırısı, Tomcat’in HTTP/2 protokolü uygulamasındaki zayıflıklardan yararlanır ve özellikle bağlantı sıfırlama mekanizmasını hedefler.
Başarılı bir şekilde yürütüldüğünde, saldırı tipik olarak bir outofMemoryError olarak kendini gösterir, bu da hedeflenen sunucunun mevcut bellek kaynaklarını tüketmesine ve meşru isteklere tepkisiz hale gelmesine neden olur.
Güvenlik açığı, Tomcat’in HTTP/2 akışının sıfırlamalarını ve bağlantı yönetimini nasıl ele aldığı konusunda yatmaktadır. Saldırganlar, sunucuyu düzgün bir şekilde serbest bırakmadan aşırı bellek kaynakları tahsis etmeye zorlayan kötü amaçlı HTTP/2 istekleri oluşturabilir.
Bu bellek sızıntı davranışı tekrar tekrar tetiklenebilir, sonunda sunucunun kullanılabilir bellek havuzunu ezebilir ve bir hizmet reddi koşulunu tetikleyebilir.
Saldırı vektörü, birden fazla akışın tek bir TCP bağlantısı üzerinden eşzamanlı olarak işlenebileceği HTTP/2 çoğullama özelliğinden yararlanır.
Saldırganlar, akış sıfırlama çerçevelerini ve bağlantı durumu yönetimini manipüle ederek Tomcat’ı çok sayıda yarı açık bağlantıyı veya eksik akış durumlarını korumaya zorlayarak kaynak tükenmesine yol açabilir.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | – Apache Tomcat 11.0.0-m1 ila 11.0.9- Apache Tomcat 10.1.0-M1 ila 10.1.43- Apache Tomcat 9.0.0.m1 ila 9.0.107- eski EOL sürümleri (potansiyel olarak etkilenen) |
| Darbe | Hizmet Reddi (DOS) saldırısı |
| Önkoşuldan istismar | – HTTP/2 Protokol Hedef sunucuda etkinleştirilmiş- Kötü amaçlı HTTP/2 istekleri göndermek için ağ erişimi- HTTP/2 akış sıfırlama çerçeveleri oluşturma yeteneği- kimlik doğrulaması gerekmez |
| Şiddet | Yüksek |
Hafifletme
Apache Software Foundation, bu kritik güvenlik açığını ele almak için yamalı sürümler yayınladı. Etkilenen Tomcat sürümlerini yürüten kuruluşlar hemen Apache Tomcat 11.0.10, 10.1.44 veya 9.0.108 veya sonraki sürümlere yükseltilmelidir.
Bu güncellemeler, HTTP/2 uygulaması için “Sıfırla” saldırı vektörünü önleyen düzeltmeleri içerir.
Sistem yöneticileri, özellikle HTTP/2 bağlantılarını kabul eden kamuya açık web uygulamaları için bu güncellemelere öncelik vermelidir.
Güvenlik açığının yüksek şiddet derecesi, başarılı sömürünün hizmet kullanılabilirliğini ve iş operasyonlarını önemli ölçüde etkileyebileceğini göstermektedir.
Güvenlik ekipleri ayrıca olağandışı bellek tüketim modelleri için Tomcat kurulumlarını izlemeli ve yamalar altyapılarına yerleştirilirken potansiyel saldırıları azaltmak için hız sınırlama ve bağlantı kısma gibi ek ağ düzeyinde korumalar uygulamalıdır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.