.webp?w=696&resize=696,0&ssl=1 "Çoklu Apache Tomcat güvenlik açıkları")
Apache Tomcat, kötü niyetli aktörlerin web uygulamalarını ve hizmetlerini bozmasına izin verebilecek üç kritik hizmet reddi (DOS) güvenlik açıkına değinmiştir.
CVE-2025-52434, CVE-2025-52520 ve CVE-2025-53506 olarak izlenen bu güvenlik kusurları, tüm Apache Tomcat sürümlerini 9.0.0.m1 ila 9.0.106 arasındaki tüm Apache Tomcat sürümlerini etkiler.
Güvenlik açıkları, HTTP/2 protokol zayıf yönleri, dosya yükleme mekanizmaları ve akış kullanma özellikleri dahil olmak üzere farklı saldırı vektörlerinden yararlanır.
Key Takeaways
1. CVE-2025-52434, CVE-2025-52520, and CVE-2025-53506 affect Apache Tomcat 9.0.0.M1 to 9.0.106, allowing remote denial-of-service attacks.
2. Exploits target the HTTP/2 protocol with APR/Native, file upload integer overflow, and excessive HTTP/2 stream creation.
3. All vulnerabilities were patched through specific commits implementing proper validation and resource limits.
4. Immediate upgrade to version 9.0.107 is required as exploits need no authentication.
Etkilenen sürümleri yürüten kuruluşlar, bu güvenlik risklerini azaltmak ve potansiyel hizmet kesintilerini önlemek için hemen Apache Tomcat 9.0.107’ye yükseltilmelidir.
HTTP/2 ve APR/Native Kusur (CVE-2025-52434)
İlk güvenlik açığı olan CVE-2025-52434, Apache Tomcat’ın HTTP/2 uygulamasında APR/doğal konektörle kullanıldığında kritik bir kusuru temsil eder.
Bu güvenlik açığı, saldırganların HTTP/2 protokol işleme mekanizmalarındaki zayıflıklardan yararlanarak hizmet reddi koşullarını tetiklemelerini sağlar.
Ana kütüphane entegrasyonu yoluyla gelişmiş performans sağlayan APR/doğal konektör, kötü veya aşırı HTTP/2 isteklerini işlerken kaynak tükenme saldırılarına karşı hassas hale gelir.
Güvenlik ekibi, bu sorunu HTTP/2 bağlantıları için uygun doğrulama ve kaynak yönetimi uygulayan 8A83C3C4 ile ele aldı.
Güvenlik açığı kimlik doğrulaması olmadan uzaktan istismar edilebileceğinden, HTTP/2 özellikli APR/yerel konektörleri kullanan sistem yöneticileri bu güncellemeye öncelik vermelidir.
Düzeltme, kaynak tükenme senaryolarını önlemek için daha katı sınır kontrolleri ve bağlantı yaşam döngüsü yönetimi getirir.
Dosya Yüklemelerinde Tamsayı Taşma (CVE-2025-52520)
CVE-2025-52520, Apache Tomcat’ın Dosya Yükleme İşleme Mekanizması’ndaki tamsayı taşma koşullarını kullanır.
Saldırganlar, tamsayı taşma güvenlik açıklarını tetikleyen, potansiyel olarak dosya boyutu kısıtlamalarını atlayan ve bellek tükenmesine neden olan özel olarak hazırlanmış içerik uzunluğu başlıkları ile kötü niyetli çok taraflı/form veri istekleri oluşturabilir.
Bu güvenlik açığı, sunucu uygulaması kapsayıcıları aracılığıyla dosya yüklemelerini işleyen uygulamaları etkiler. 927D66FB TROME’da uygulanan iyileştirme, sağlam giriş doğrulaması ve dosya yükleme işlemleri için uygun tamsayı sınırları sunar.
Düzeltme, işlenmeden önce MaxRequestSize ve MaxFilesize parametrelerinin düzgün bir şekilde doğrulanmasını sağlar ve sınırsız bellek tahsisine yol açabilecek taşma koşullarını önler.
Dosya yükleme işlevselliğine sahip web uygulamaları, derinlemesine bir savunma stratejisi olarak uygulama düzeyinde ek doğrulama katmanları uygulamalıdır.
Aşırı HTTP/2 akışları (CVE-2025-53506)
Üçüncü güvenlik açığı olan CVE-2025-53506, saldırganların tek bir bağlantı içinde aşırı HTTP/2 akışı oluşturarak Apache Tomcat sunucularını ezmesine izin verir.
Bu saldırı vektörü, birden fazla akışın tek bir TCP bağlantısı üzerinde eşzamanlı olarak işlenebileceği HTTP/2 çoğullama özelliğini kullanır. Kötü niyetli istemciler hızla çok sayıda akış oluşturabilir, sunucu belleği ve işleme kaynakları.
43477293 taahhütü, uygun akış sayısı sınırlamaları ve kaynak yönetimi politikalarını uygulayarak bu güvenlik açığını ele alır.
| Cves | Tanım | Şiddet |
| CVE-2025-52434 | HTTP/2 uygulamasında Hizmet Reddetme Güvenlik Açığı Nisan/Native Konektörü ile kullanılan. | Önemli |
| CVE-2025-52520 | Tamsayı taşma işlem mekanizmasında tamirci güvenlik açığı. | Önemli |
| CVE-2025-53506 | Aşırı HTTP/2 akış yaratma yoluyla hizmet reddi. | Önemli |
Düzeltme, bağlantı başına maksimum eşzamanlı akışlar için yapılandırılabilir parametreler getirir ve sınırlar yaklaşıldığında zarif bozunma mekanizmaları uygular.
Ağ yöneticileri, potansiyel kötüye kullanımı tespit etmek için MaxConcurrentStreams için uygun değerleri yapılandırmalı ve HTTP/2 bağlantı modellerini izlemelidir.
Etkilenen Apache Tomcat sürümlerini yöneten kuruluşlar derhal 9.0.107’ye yükseltmeli ve bu kritik güvenlik açıklarını azaltmak için güvenlik yapılandırmalarını gözden geçirmelidir.
Marcus Hutchins ile Uç nokta güvenliğine hakim olan bir saldırgan gibi düşünün – Şimdi Kaydolun