Apache Tomcat`da DoS (Denial of Service) zaifligi aniqlandi
Apache Tomcat dunyodagi eng keng tarqalgan Java Servlet (Java Servlet — bu Java dasturlash tilida yozilgan dasturiy komponent bo‘lib, u veb-serverlar (masalan, Apache Tomcat) bilan o‘zaro ishlashga imkon beradi. Servletlar veb-ilovalar bilan bog‘liq dinamik tarkibni yaratish uchun ishlatiladi, masalan, foydalanuvchi so‘rovlarini qabul qilish, qayta ishlash va tegishli javobni qaytarish.) konteynerlaridan biri bo‘lib, turli veb ilovalar va xizmatlarni joylashtirish va boshqarishda keng qo‘llaniladi. 2024-yilda aniqlangan yangi xavfsizlik zaifligi CVE-2024-38286 – xizmatni rad etish (DoS – Denial of Service) zaifligi sifatida e’tirof etildi. Ushbu zaiflik Tomcat`ning ma’lum versiyalarida xotira va hisoblash resurslarini noto‘g‘ri boshqarish bilan bog‘liq bo‘lib, xakerlar tomonidan tizimni ishdan chiqarish maqsadida ishlatilishi mumkin.
Zaiflikning Tafsilotlari
– Zaiflik identifikatori: CVE-2024-38286
– Zaiflik turi: Xizmatni rad etish (DoS)
– Ta’sir ko‘rsatuvchi dasturiy ta’minot: Apache Tomcat 10.1.10 va undan eski versiyalari
– Ta’sir miqyosi: Keng miqyosda ta’sir ko‘rsatishi mumkin, chunki Tomcat katta tashkilotlar, veb hosting provayderlari va ko‘plab veb ilovalarda qo‘llaniladi.
CVE-2024-38286 zaifligi orqali xakerlar resursga ortiqcha so‘rovlar yuborib, Tomcat xizmatining normal ishlashini izdan chiqarishi mumkin. Ushbu zaiflik Apache Tomcat`ning HTTP/2 protokoliga oid bo‘lib, ko‘p sonli noto‘g‘ri formatlangan HTTP/2 so‘rovlar yuborilishi orqali paydo bo‘ladi.
Zaiflikdan foydalanish asosiy bosqichlari:
1. HTTP/2 Traffikining Manipulyatsiyasi: Tomcat HTTP/2 orqali kelgan ma’lumotlar oqimini noto‘g‘ri ishlov berishi mumkin, natijada noto‘g‘ri so‘rovlar tizimning resurslarini ortiqcha foydalanishga olib keladi.
2. Tizimni To‘ldirish: Xakerlar tomonidan yuborilgan ko‘p sonli noto‘g‘ri so‘rovlar serverdagi hisoblash resurslarini tezda to‘ldiradi.
3. Xizmatga kirishni cheklash: Resurslar to‘liq band bo‘lib, xizmat odatiy foydalanuvchilarga javob bera olmaydi. Bu xizmatni rad etish (DoS) xurujiga olib keladi.
Zaiflik Apache Tomcat`ning HTTP/2 so‘rovlarini boshqarish mexanizmlarida noto‘g‘ri xotira va talabni boshqarishiga bog‘liq. Aniqrog‘i, bu talablarni boshqarishdagi xatolik, ma’lum bir vaziyatlarda, noto‘g‘ri so‘rovlar orqali amalga oshirilishi mumkin.
Ushbu zaiflik orqali muvaffaqiyatli hujum amalga oshirilganda, server ishlamay qolishi mumkin. Quyidagi oqibatlar kuzatilishi mumkin:
– Xizmatni to‘xtatish: Tizim ortiqcha yuklanganligi sababli, xizmat foydalanuvchilar uchun ishlamay qoladi.
– Resurslarning to‘liq band qilinishi: Tizimning barcha hisoblash resurslari to‘ldirilganligi sababli, yangi so‘rovlar bajarilmaydi va tizim javobsiz qoladi.
– Zaxira tizimlariga yuk ortishi: Zaxira tizimlari mavjud bo‘lsa ham, hujum miqyosi katta bo‘lsa, ular ham ta’sirlanishi mumkin.
Zaiflikdan himoyalanish
Tomcat’ni xavfsiz holatda ishlatish uchun quyidagi choralar ko‘rilishi tavsiya etiladi:
– Dasturiy ta’minotni yangilash: Apache Tomcat 10.1.10 va undan keyingi versiyalarga yangilash kerak, chunki bu zaiflik yangi versiyalarda tuzatilgan.
– HTTP/2 qo‘llab-quvvatlashni vaqtincha o‘chirish: Agar Apache Tomcat’da HTTP/2 protokoli faol bo‘lsa va u majburiy bo‘lmasa, HTTP/2 ni o‘chirish orqali zaiflikdan himoyalanish mumkin.
– Firewall va DDoS himoyasi: Server atrof-muhitiga qo‘shimcha xavfsizlik choralari, masalan, DDoS hujumlaridan himoya qilish vositalari qo‘llanishi mumkin.
– Chegaralangan so‘rovlar: So‘rovlar uchun chegara (rate-limiting) qo‘yish orqali ortiqcha va noto‘g‘ri so‘rovlarning ko‘plab yuborilishining oldini olish mumkin.
CVE-2024-38286 – bu Apache Tomcat`da aniqlangan xizmatni rad etish zaifligi bo‘lib, ayniqsa HTTP/2 protokoli orqali xizmat qiluvchi serverlar uchun katta xavf tug‘diradi. Tizim administratorlari va xavfsizlik bo‘yicha mas’ullar ushbu zaiflikka e’tibor berishlari, Tomcat’ni so‘nggi versiyaga yangilashlari va qo‘shimcha xavfsizlik choralarini amalga oshirishlari muhimdir.
Qo‘shimcha ma’lumot uchun:
– [Apache Tomcat Official Security Advisories](https://tomcat.apache.org/security.html)
– [CVE-2024-38286 NVD Database](https://nvd.nist.gov/vuln/detail/CVE-2024-38286)
