Skip to content

Tomcat’dagi xavfsizlik xatosi serverni ishdan chiqarishga olib keladi

Dunyoning eng keng tarqalgan Java ilova serverlaridan biri — Apache Tomcat’da yangi xavfsizlik zaifligi aniqlanib, jiddiy xavf tug‘dirmoqda. Apache Software Foundation tomonidan e’lon qilingan ushbu zaiflik raqamli xavfsizlik sohasidagi mutaxassislar va tashkilotlar uchun ogohlantiruvchi signal bo‘lib xizmat qilmoqda.

Mazkur zaiflik CVE-2025-31650 deb nomlanib, Tomcat ilova serverining bir nechta versiyalarini o‘z ichiga oladi. U noto‘g‘ri shakllantirilgan HTTP Priority sarlavhalari orqali server xotirasini haddan tashqari to‘ldirib, xizmatdan chiqarish (DoS) holatini yuzaga keltiradi.

Apache Tomcat HTTP so‘rovlaridagi ustuvorlik (priority) sarlavhalarini noto‘g‘ri qayta ishlash natijasida, xatolik yuz bergan so‘rov to‘liq tozalanmaydi. Bu esa tizimda xotira oqishiga sabab bo‘ladi. Agar xaker tomonidan ko‘p sonli noto‘g‘ri sarlavhali so‘rovlar yuborilsa, bu OutOfMemoryException holatini chaqiradi va server butunlay ishdan chiqadi.

Oddiy qilib aytganda, Tomcat muayyan noto‘g‘ri tuzilgan sarlavhalarni to‘g‘ri filtrlashga yoki yo‘q qilishga muvaffaq bo‘lmagan. Natijada, bu kichik zaiflik server ish faoliyatini to‘xtatib qo‘yish darajasiga yetadi.

Quyidagi versiyalar ushbu zaiflikdan aziyat chekadi:

  • Apache Tomcat 9.0.76 dan 9.0.102 gacha
  • Apache Tomcat 10.1.10 dan 10.1.39 gacha
  • Apache Tomcat 11.0.0-M2 dan 11.0.5 gacha

Ayni paytda Apache Software Foundation ushbu muammoni hal qilish maqsadida yangilangan versiyalarni chiqardi:

  • 11.0.6 yoki undan keyingi versiyalar
  • 10.1.40 yoki undan keyingi versiyalar
  • 9.0.104 yoki undan keyingi versiyalar

Shuni alohida ta’kidlash kerakki, 9.0.103 versiyasi muammoni hal qiluvchi kodni o‘z ichiga olgan bo‘lsa-da, u rasmiy chiqarilmagan va foydalanishga tavsiya etilmaydi.

Mazkur zaiflik orqali xakerlar autentifikatsiyasiz holda minglab noto‘g‘ri HTTP so‘rovlar yuborish orqali serverni qulatishi mumkin. Bu esa ko‘plab veb-ilovalarning vaqtincha yoki butunlay ishlamay qolishiga olib keladi.

Bu holat bizga yana bir bor shuni eslatadiki — ilova serverlarida kichik va deyarli sezilmas interfeyslar orqali ham jiddiy xavf yuzaga kelishi mumkin. Tomcat’ga o‘xshagan yirik tizimlarda xotira boshqaruvi va so‘rovlar sanitizatsiyasi mutlaqo muhimdir.

Tashkilotlar, ishlab chiquvchilar va tizim administratorlari darhol foydalanayotgan Apache Tomcat versiyalarini tekshirib, agar kerak bo‘lsa, yangilangan versiyalarga o‘tishlari shart. Bu orqali potentsial DoS hujumlarining oldi olinadi va server uzluksiz faoliyat yuritishda davom etadi.

Xavfsizlik — bu faqat zaifliklarni bartaraf etish emas, balki ularni oldindan aniqlab, imkon qadar tezroq yopiqlashni o‘z ichiga olgan doimiy jarayondir.