
Apache Tomcat’da aniqlangan ikkita yangi zaiflik autentifikatsiyani chetlab o’tish xavfini yuzaga keltirmoqda!
Dunyo bo’ylab millionlab veb-ilovalar ishlaydigan Apache Tomcat platformasida aniqlangan ikkita yangi xavfsizlik zaifligi korporativ axborot tizimlari uchun jiddiy tahdid tug’dirmoqda. Apache Software Foundation tomonidan e’lon qilingan ushbu zaifliklar noto’g’ri sozlangan kirish nazorati (Access Control) qoidalarini chetlab o’tish hamda himoyalangan resurslarga ruxsatsiz kirish imkoniyatini yaratishi mumkin.
Mazkur zaifliklar CVE-2026-55957 va CVE-2026-55956 identifikatorlari bilan ro’yxatdan o’tkazilgan bo’lib, ular Apache Tomcat’ning bir nechta asosiy versiyalariga ta’sir ko’rsatadi. Shu sababli mutaxassislar Tomcat’dan foydalanayotgan barcha tashkilotlarni imkon qadar tezroq xavfsizlik yangilanishlarini o’rnatishga chaqirmoqda.
Apache Tomcat nima?
Apache Tomcat — Java dasturlash tilida yaratilgan veb-ilovalarni ishga tushirish uchun mo’ljallangan eng mashhur ochiq kodli servlet konteynerlaridan biridir. U korporativ axborot tizimlari, bank xizmatlari, davlat axborot resurslari, elektron tijorat platformalari va bulutli xizmatlarda keng qo’llaniladi.
Tomcat foydalanuvchi autentifikatsiyasi, sessiyalarni boshqarish va veb-ilovalardagi kirish huquqlarini nazorat qilish kabi muhim xavfsizlik funksiyalarini ham bajaradi. Shu sababli ushbu platformadagi har qanday zaiflik himoyalangan ma’lumotlarga noqonuniy kirish imkoniyatini yuzaga keltirishi mumkin.
CVE-2026-55957: JNDIRealm orqali autentifikatsiyani chetlab o’tish
Aniqlangan birinchi zaiflik CVE-2026-55957 identifikatori bilan qayd etilgan bo’lib, u Important (Muhim) xavf darajasiga ega.
Muammo JNDIRealm komponentida, ayniqsa GSSAPI autentifikatsiyasi orqali LDAP katalog xizmatiga ulanadigan konfiguratsiyalarda kuzatiladi.
Tahlillarga ko’ra, Tomcat ayrim holatlarda Default Servlet uchun belgilangan security-constraint qoidalaridagi HTTP metodlariga oid cheklovlarni to’liq qo’llamaydi.
Natijada tizim administratorlari tomonidan faqat ma’lum HTTP metodlariga (masalan, PUT, DELETE yoki POST) qo’yilgan kirish cheklovlari e’tiborga olinmay qolishi mumkin.
Bu esa tajovuzkorga autentifikatsiyadan o’tmasdan turib himoyalangan resurslarga murojaat qilish imkonini yaratadi.
Ta’sir qiluvchi versiyalar
Mazkur zaiflik quyidagi versiyalarda aniqlangan:
- Apache Tomcat 11.0.0-M1 – 11.0.4
- Apache Tomcat 10.1.0-M1 – 10.1.36
- Apache Tomcat 9.0.0.M1 – 9.0.100
Shuningdek, qo’llab-quvvatlanmaydigan eski versiyalar ham zaif bo’lishi mumkin.
Muammo Tomcat 11.0.5, 10.1.37 va 9.0.101 versiyalaridan boshlab bartaraf etilgan.
CVE-2026-55956: Default Servlet himoya qoidalarini chetlab o’tish
Ikkinchi zaiflik CVE-2026-55956 identifikatori bilan ro’yxatdan o’tkazilgan bo’lib, u Moderate (O’rtacha) xavf darajasiga ega.
Mazkur zaiflikning ildiz sababi ham birinchi zaiflik bilan deyarli bir xil.
Tomcat Default Servlet uchun belgilangan <security-constraint> qoidalarini noto’g’ri qayta ishlashi natijasida HTTP metodlari bo’yicha belgilangan cheklovlar ayrim holatlarda qo’llanilmaydi.
Natijada faqat ma’lum HTTP so’rovlari uchun yopilishi kerak bo’lgan resurslarga boshqa HTTP metodlari orqali murojaat qilish mumkin bo’ladi.
Bu esa administratorlar noto’g’ri himoyalangan deb hisoblagan xizmatlar yoki boshqaruv interfeyslariga noqonuniy kirish ehtimolini oshiradi.
Ta’sir qiluvchi versiyalar
Mazkur zaiflik quyidagi versiyalarga ta’sir qiladi:
- Apache Tomcat 11.0.0-M1 – 11.0.22
- Apache Tomcat 10.1.0-M1 – 10.1.55
- Apache Tomcat 9.0.0.M1 – 9.0.118
Qo’llab-quvvatlanmaydigan eski versiyalar ham xavf ostida bo’lishi mumkin.
Muammo Tomcat 11.0.23, 10.1.56 va 9.0.119 versiyalaridan boshlab bartaraf etilgan.
Muammo nimada?
Har ikkala zaiflikning asosiy sababi Tomcat’ning security-constraint qoidalarini noto’g’ri qo’llash mexanizmi bilan bog’liq.
Odatda administratorlar web.xml konfiguratsiya fayli orqali ma’lum URL manzillari yoki resurslarga faqat ayrim HTTP metodlari orqali murojaat qilishga ruxsat beradi.
Masalan:
- GET so’rovlariga ruxsat beriladi;
- PUT va DELETE so’rovlari taqiqlanadi.
Ammo aniqlangan xatolik sababli Tomcat ayrim vaziyatlarda ushbu metodlarga oid cheklovlarni to’g’ri tekshirmaydi.
Natijada himoyalangan deb hisoblangan resurslarga boshqa HTTP metodlari orqali kirish imkoniyati paydo bo’ladi.
Bu esa autentifikatsiya mexanizmini chetlab o’tish, maxfiy ma’lumotlarni ko’rish yoki ma’muriy funksiyalardan noqonuniy foydalanish kabi xavfli oqibatlarga olib kelishi mumkin.
Kimlar uchun eng katta xavf mavjud?
Mutaxassislarning fikricha, quyidagi muhitlar eng yuqori xavf ostida:
- LDAP autentifikatsiyasidan foydalanadigan JNDIRealm konfiguratsiyalari;
- GSSAPI orqali Active Directory yoki LDAP bilan integratsiyalashgan Tomcat serverlari;
- administrator paneli yoki API xizmatlari Default Servlet orqali ishlaydigan tizimlar;
- internetga ochiq Tomcat serverlari;
- eski versiyalarda ishlayotgan korporativ Java ilovalari.
Agar ushbu serverlarda metodlarga asoslangan kirish nazorati qo’llanilgan bo’lsa, zaiflik muvaffaqiyatli ekspluatatsiya qilinishi mumkin.
Himoyalanish bo’yicha tavsiyalar
Apache Software Foundation ushbu zaifliklar uchun vaqtinchalik himoya usullari mavjud emasligini ma’lum qilgan.
Shu sababli yagona ishonchli yechim — yangilangan versiyalarga o’tish hisoblanadi.
Mutaxassislar quyidagi choralarni tavsiya etmoqda:
- Apache Tomcat’ni imkon qadar tezroq xavfsizlik yangilanishlari o’rnatilgan versiyalarga yangilash;
- yangilanishdan so’ng web.xml faylidagi security-constraint qoidalarini qayta tekshirish;
- HTTP metodlari bo’yicha cheklovlar amalda to’g’ri ishlayotganini sinovdan o’tkazish;
- administrator interfeyslari va muhim API xizmatlarini internetdan to’g’ridan-to’g’ri foydalanish uchun ochiq qoldirmaslik;
- LDAP va Active Directory autentifikatsiya konfiguratsiyalarini audit qilish;
- WAF, SIEM va EDR tizimlari yordamida noodatiy HTTP so’rovlarini monitoring qilish;
- xavfsizlik testlari va penetratsion sinovlar orqali kirish nazorati qoidalarini muntazam tekshirib borish.
CVE-2026-55957 va CVE-2026-55956 zaifliklari kirish nazorati mexanizmlaridagi kichik ko’ringan xatoliklar ham yirik korporativ tizimlar uchun qanday jiddiy xavf tug’dirishi mumkinligini yana bir bor namoyish etdi. Ayniqsa, autentifikatsiya va avtorizatsiya qoidalari noto’g’ri ishlaganda tajovuzkorlar himoyalangan deb hisoblangan resurslarga noqonuniy kirish imkoniyatiga ega bo’lishi mumkin.
Apache Tomcat bugungi kunda dunyo bo’ylab eng ko’p qo’llaniladigan Java veb-platformalaridan biri bo’lganligi sababli, ushbu zaifliklarni o’z vaqtida bartaraf etish har bir tashkilot uchun ustuvor vazifa hisoblanadi. Administratorlar serverlarni yangilangan versiyalarga o’tkazishlari, kirish nazorati siyosatini qayta audit qilishlari hamda HTTP metodlariga asoslangan xavfsizlik qoidalarining to’g’ri ishlashini amaliy sinovlar orqali tasdiqlashlari tavsiya etiladi.



