В Apache Tomcat обнаружена уязвимость DoS (отказ в обслуживании)

Apache Tomcat — наиболее широко используемый Java-сервлет в мире (Java-сервлет — это программный компонент, написанный на языке программирования Java, который позволяет взаимодействовать с веб-серверами (такими как Apache Tomcat). Сервлеты — это динамические веб-приложения, используемые для создания контента, например как получение пользовательских запросов, обработка и возврат соответствующего ответа.) является одним из контейнеров и широко используется для размещения и управления различными веб-приложениями и сервисами. Новая уязвимость безопасности, обнаруженная в 2024 году, была идентифицирована как CVE-2024-38286 — уязвимость отказа в обслуживании (DoS). Эта уязвимость связана с некорректным управлением памятью и вычислительными ресурсами в некоторых версиях Tomcat и может быть использована хакерами для сбоя системы.
Подробности об уязвимости

  • Идентификатор уязвимости: CVE-2024-38286.
  • Тип уязвимости: отказ в обслуживании (DoS).
  • Затронутое программное обеспечение: Apache Tomcat 10.1.10 и более ранние версии.
    -Масштаб воздействия. Влияние может быть значительным, поскольку Tomcat используется крупными организациями, провайдерами веб-хостинга и многими веб-приложениями.

Уязвимость CVE-2024-38286 позволяет хакерам отправлять чрезмерные запросы к ресурсу, нарушая нормальную работу службы Tomcat. Эта уязвимость затрагивает протокол HTTP/2 Apache Tomcat и проявляется в отправке большого количества неверных запросов HTTP/2.

Основные этапы эксплуатации уязвимости:

  1. Манипулирование трафиком HTTP/2. Tomcat может неправильно обрабатывать трафик HTTP/2, что приводит к чрезмерному использованию системных ресурсов недействительными запросами.
  2. Наводнение системы. Большое количество вредоносных запросов, отправленных хакерами, быстро заполнит вычислительные ресурсы сервера.
  3. Ограничение доступа к сервису: Ресурсы полностью заняты и сервис не может отвечать обычным пользователям. Это приводит к атаке типа «отказ в обслуживании» (DoS).

Уязвимость основана на неправильной обработке памяти и запросов в механизмах обработки запросов HTTP/2 Apache Tomcat. Более конкретно, эта ошибка управления запросами в определенных ситуациях может быть вызвана неправильными запросами.

Успешная атака через эту уязвимость может привести к сбою сервера. Могут наблюдаться следующие последствия:

  • Прерывание обслуживания: из-за перегрузки системы сервис перестанет работать для пользователей.
  • Полная занятость ресурсов: поскольку все вычислительные ресурсы системы заполнены, новые запросы не обрабатываются и система не отвечает.
  • Повышенная нагрузка на системы резервного копирования. Даже если системы резервного копирования доступны, они также могут быть затронуты, если масштаб атаки велик.

Защита от уязвимостей
Для безопасного использования Tomcat рекомендуется выполнить следующие действия:

  • Обновление программного обеспечения: Apache Tomcat следует обновить до 10.1.10 и более поздних версий, поскольку эта уязвимость исправлена ​​в более новых версиях.
  • Временно отключить поддержку HTTP/2. Если протокол HTTP/2 включен в Apache Tomcat и не является обязательным, уязвимость можно защитить, отключив HTTP/2.
  • Брандмауэр и защита от DDoS: к серверной среде могут быть применены дополнительные меры безопасности, такие как защита от DDoS-атак.
  • Запросы с ограниченной скоростью: установив лимит (ограничение скорости) для запросов, можно предотвратить отправку чрезмерных и неправильных запросов.

CVE-2024-38286 — это уязвимость типа «отказ в обслуживании» в Apache Tomcat, которая особенно уязвима для серверов, работающих по протоколу HTTP/2. Системным администраторам и сотрудникам службы безопасности важно знать об этой уязвимости, обновить Tomcat до последней версии и принять дополнительные меры безопасности.

Для получения дополнительной информации:

Перейти к содержимому