Apache Tomcat je riješio tri kritične ranjivosti uskraćivanja usluge (DoS) koje bi mogle omogućiti zlonamjernim akterima da ometaju web aplikacije i usluge.
Ove sigurnosne greške, pod oznakama CVE-2025-52434, CVE-2025-52520 i CVE-2025-53506, utiču na sve verzije Apache Tomcata od 9.0.0.M1 do 9.0.106.
Ranjivosti iskorištavaju različite napadačke vektore, uključujući slabosti u HTTP/2 protokolu, mehanizme za prijenos datoteka i mogućnosti upravljanja streamovima.
Ključne informacije:
CVE-2025-52434, CVE-2025-52520 i CVE-2025-53506 utiču na Apache Tomcat verzije od 9.0.0.M1 do 9.0.106, omogućavajući udaljene napade uskraćivanja usluge.
Eksploatacije ciljaju HTTP/2 protokol s APR/Native, prelivanje cijelih brojeva pri prijenosu datoteka i pretjerano kreiranje HTTP/2 streamova.
Sve ranjivosti su zakrpane kroz specifične izmjene koje implementiraju odgovarajuću validaciju i ograničenja resursa.
Potreban je hitan upgrade na verziju 9.0.107, budući da za eksploataciju ovih ranjivosti nije potrebna autentifikacija.
Organizacije koje koriste zahvaćene verzije trebale bi odmah nadograditi na Apache Tomcat 9.0.107 kako bi umanjile ove sigurnosne rizike i spriječile potencijalne prekide usluga.
Ranjivost u HTTP/2 i APR/Native (CVE-2025-52434)
Prva ranjivost, CVE-2025-52434, predstavlja kritičnu grešku u implementaciji HTTP/2 u Apache Tomcatu kada se koristi s APR/Native konektorom. Ova ranjivost omogućava napadačima da izazovu uskraćivanje usluge iskorištavanjem slabosti u mehanizmima upravljanja HTTP/2 protokolom. APR/Native konektor, koji pruža poboljšane performanse integracijom sa sistemskim bibliotekama, postaje podložan napadima iscrpljivanja resursa prilikom obrade neispravnih ili pretjeranih HTTP/2 zahtjeva. Sigurnosni tim je riješio ovaj problem putem izmjene 8a83c3c4, koja implementira odgovarajuću validaciju i upravljanje resursima za HTTP/2 veze. Sistemski administratori koji koriste APR/Native konektore s omogućenim HTTP/2 trebaju dati prednost ovom ažuriranju, jer se ranjivost može eksploatisati na daljinu bez potrebe za autentifikacijom. Popravak uvodi strože provjere granica i upravljanje životnim ciklusom veze kako bi se spriječili scenariji iscrpljivanja resursa.
Prelivanje cijelih brojeva pri prijenosu datoteka (CVE-2025-52520)
CVE-2025-52520 iskorištava uslove prelivanjem cijelih brojeva u mehanizmu za obradu prijenosa datoteka u Apache Tomcatu. Napadači mogu kreirati zlonamjerne multipart/form-data zahtjeve sa posebno oblikovanim zaglavljima Content-Length koja pokreću ranjivosti prelivanjem cijelih brojeva, potencijalno zaobilazeći ograničenja veličine datoteka i uzrokujući iscrpljivanje memorije. Ova ranjivost pogađa aplikacije koje obrađuju prijenos datoteka putem servlet kontejnera. Rješenje, implementirano u izmjeni 927d66fb, uvodi robusnu validaciju ulaznih podataka i odgovarajuću provjeru granica cijelih brojeva za operacije prijenosa datoteka. Popravak osigurava da se parametri maxRequestSize i maxFileSize pravilno validiraju prije obrade, čime se sprječavaju uslovi prelivanjem koji bi mogli dovesti do neograničene alokacije memorije. Web aplikacije s funkcionalnošću prijenosa datoteka trebale bi implementirati dodatne slojeve validacije na nivou aplikacije kao strategiju odbrane.
Pretjerani HTTP/2 streamovi (CVE-2025-53506)
Treća ranjivost, CVE-2025-53506, omogućava napadačima da preopterete Apache Tomcat servere kreiranjem pretjeranih HTTP/2 streamova unutar jedne veze. Ovaj napadački vektor iskorištava funkciju multipleksiranja HTTP/2, gdje se više streamova može obrađivati istovremeno preko jedne TCP veze. Zlonamjerni klijenti mogu brzo kreirati brojne streamove, iscrpljujući memoriju servera i procesne resurse. Izmjena 43477293 rješava ovu ranjivost implementacijom odgovarajućih ograničenja broja streamova i politika upravljanja resursima. Popravak uvodi podesive parametre za maksimalni broj istovremenih streamova po vezi i implementira mehanizme postepenog propadanja kada se približavaju ograničenja. Mrežni administratori bi trebali konfigurisati odgovarajuće vrijednosti za maxConcurrentStreams i nadzirati obrasce HTTP/2 veza kako bi otkrili potencijalnu zloupotrebu.
Organizacije koje koriste zahvaćene verzije Apache Tomcata trebale bi odmah nadograditi na verziju 9.0.107 i pregledati svoje sigurnosne konfiguracije kako bi umanjile ove kritične ranjivosti.