Apache Tomcat zaifligi: HTTP/0.9 orqali xavfsizlik cheklovlarini chetlab o‘tish mumkin
Veb-ilovalar infratuzilmasida keng qo‘llaniladigan Apache Tomcat platformasida yangi zaiflik aniqlandi. CVE-2026-24733 identifikatori bilan ro‘yxatga olingan ushbu muammo xavfsizlik cheklovlarini ma’lum sharoitlarda chetlab o‘tish imkonini beradi. Zaiflik darajasi “Low” (past) deb baholangan bo‘lsa-da, noto‘g‘ri sozlangan tizimlarda u amaliy xavf tug‘dirishi mumkin.
Muammo nimadan iborat?
Zaiflikning ildizi eski va deyarli qo‘llanilmaydigan HTTP/0.9 protokol versiyasi bilan bog‘liq. HTTP/0.9 — bu HTTP’ning ilk va juda soddalashtirilgan talqini bo‘lib, unda zamonaviy metodlar va sarlavhalar (headers) tushunchasi to‘liq shakllanmagan.
Tomcat’ning ayrim versiyalarida HTTP/0.9 so‘rovlari faqat GET metodi bilan cheklanmagan. Natijada, maxsus shakllantirilgan (specification’ga zid) HEAD so‘rovi yuborilganda, xavfsizlik qoidalarida kutilmagan bo‘shliq yuzaga keladi.
Qanday qilib cheklov chetlab o‘tiladi?
Zaiflik ma’lum konfiguratsiya mavjud bo‘lganda ishlaydi:
- Ma’lum bir URI uchun HEAD so‘rovlariga ruxsat berilgan bo‘ladi
- Shu URI uchun GET so‘rovlari taqiqlangan bo‘ladi
Oddiy HTTP versiyalarida bu qoida resurs tanasini (body) GET orqali olishni to‘liq bloklaydi. Biroq CVE-2026-24733 sharoitida hujumchi HTTP/0.9 formatida noto‘g‘ri HEAD so‘rovi yuborib, GET uchun qo‘yilgan cheklovni aylanib o‘tishi mumkin.
Natijada himoya mexanizmi kutilganidek ishlamaydi va resursga ruxsatsiz kirish ehtimoli paydo bo‘ladi.
Qaysi holatlarda xavfli?
Ushbu zaiflik universal emas — u quyidagi sharoitlarda yuzaga keladi:
- HEAD ruxsat etilgan, GET esa taqiqlangan maxsus xavfsizlik qoidalari mavjud bo‘lsa
- Server HTTP/0.9 so‘rovlarini qabul qilsa
- Tarmoqda reverse proxy yoki load balancer noto‘g‘ri protokol normalizatsiyasi bilan ishlasa
Ayniqsa, eski tizimlar, noodatiy mijoz dasturlar yoki murakkab tarmoq topologiyalarida xavf yuqoriroq bo‘lishi mumkin.
Ta’sirlangan versiyalar
Zaiflik Tomcat’ning bir nechta asosiy tarmoqlariga ta’sir qilgan:
- 11.0.0-M1 dan 11.0.14 gacha → 11.0.15 va undan yuqori versiyada tuzatilgan
- 10.1.0-M1 dan 10.1.49 gacha → 10.1.50 va undan yuqori versiyada tuzatilgan
- 9.0.0.M1 dan 9.0.112 gacha → 9.0.113 va undan yuqori versiyada tuzatilgan
- End-of-Life (EOL) versiyalar ham ta’sirlangan — yangilash tavsiya etiladi
Rasmiy xavfsizlik xabarnomasi 2026-yil 17-fevral kuni e’lon qilingan.
Himoyalanish choralar
Apache jamoasi quyidagi tavsiyalarni beradi:
- Platformani imkon qadar tezroq yangilash
- HEAD va GET metodlari bo‘yicha kirish siyosatini qayta ko‘rib chiqish
- Reverse proxy va load balancer’larda protokol pasayishini (protocol downgrade) cheklash
- HTTP/0.9 qo‘llab-quvvatlanishini o‘chirib qo‘yish yoki qat’iy filtratsiya qilish
Shuningdek, EOL versiyalardan foydalanayotgan tashkilotlar qo‘llab-quvvatlanadigan tarmoqqa migratsiya qilishlari zarur. Eski versiyalarga xavfsizlik patchlarini xavfsiz tarzda qo‘llash har doim ham amaliy emas.
Kengroq xavfsizlik sabog‘i
Mazkur holat yana bir muhim jihatni eslatadi: eski protokollar va kam qo‘llaniladigan funksiyalar ham xavfsizlik riskiga aylanishi mumkin. Zamonaviy tizimlarda “kam ishlatiladi” degan tushuncha “xavfsiz” degani emas.
Tashkilotlar nafaqat zaifliklarni o‘z vaqtida yamab borishi, balki konfiguratsiya siyosatini ham muntazam audit qilib turishi lozim. Ayniqsa, metodlarga asoslangan kirish nazorati qoidalari (GET, POST, HEAD va boshqalar) chuqur tahlil qilinishi kerak.
CVE-2026-24733 zaifligi past darajali deb baholangan bo‘lsa-da, noto‘g‘ri sozlangan muhitlarda real xavf tug‘dirishi mumkin. Bu holat yana bir bor shuni ko‘rsatadiki, xavfsizlik nafaqat dasturiy ta’minotdagi xatolarga, balki konfiguratsiya va protokol darajasidagi tafsilotlarga ham bog‘liq.
Veb-infratuzilmada ishlovchi tashkilotlar uchun eng to‘g‘ri yo‘l — muntazam yangilash, qat’iy kirish siyosati va chuqur monitoringdir. Chunki kichik ko‘ringan zaiflik ham noto‘g‘ri sharoitda katta muammoga aylanishi mumkin.
