Уязвимость в Apache Tomcat может привести к отключению сервера

В одном из самых популярных серверов приложений Java — Apache Tomcat — обнаружена новая уязвимость в области безопасности, представляющая серьёзную угрозу. Фонд Apache Software Foundation объявил об этой уязвимости, которая служит тревожным сигналом для специалистов по цифровой безопасности и организаций.

Уязвимость, обозначенная как CVE-2025-31650, затрагивает несколько версий сервера приложений Tomcat. Она позволяет злоумышленникам вызывать переполнение памяти сервера через некорректно сформированные заголовки HTTP Priority, что приводит к состоянию отказа в обслуживании (Denial of Service, DoS).

Из-за неправильной обработки заголовков приоритета (priority) в HTTP-запросах Apache Tomcat не полностью очищает ошибочные запросы. Это вызывает утечку памяти в системе. Если хакер отправляет большое количество запросов с некорректными заголовками, возникает состояние OutOfMemoryException, которое полностью выводит сервер из строя.

Проще говоря, Tomcat не смог должным образом фильтровать или отклонять определённые некорректно сформированные заголовки. В результате эта, казалось бы, незначительная уязвимость способна остановить работу сервера.

Затронуты следующие версии:

  • Apache Tomcat с 9.0.76 по 9.0.102
  • Apache Tomcat с 10.1.10 по 10.1.39
  • Apache Tomcat с 11.0.0-M2 по 11.0.5

На данный момент Apache Software Foundation выпустил обновлённые версии для устранения проблемы:

  • 11.0.6 или более поздние версии
  • 10.1.40 или более поздние версии
  • 9.0.104 или более поздние версии

Важно отметить, что версия 9.0.103 содержит код для устранения проблемы, но она не была официально выпущена и не рекомендуется к использованию.

Эта уязвимость позволяет хакерам без аутентификации отправлять тысячи некорректных HTTP-запросов, чтобы вывести сервер из строя. Это может привести к временной или полной неработоспособности множества веб-приложений.

Этот случай в очередной раз напоминает нам, что даже через небольшие и почти незаметные интерфейсы серверов приложений могут возникнуть серьёзные угрозы. В крупных системах, таких как Tomcat, управление памятью и санитизация запросов имеют решающее значение.

Организациям, разработчикам и системным администраторам необходимо немедленно проверить используемые версии Apache Tomcat и, при необходимости, обновиться до актуальных версий. Это позволит предотвратить потенциальные DoS-атаки и обеспечить бесперебойную работу сервера.

Безопасность — это не только устранение уязвимостей, но и непрерывный процесс их заблаговременного выявления и максимально быстрого устранения.