Šta se desilo?

Apache Software Foundation je objavila dve bezbednosne greške u Tomcat servlet kontejneru koje mogu omogućiti napadačima da zaobidu autentifikacione mehanizme i zaštitne kontrole. Greške se odnose na nepravilno sprovođenje sigurnosnih ograničenja na podrazumevanom servletu, što omogućava pristup zaštićenim resursima bez potrebne autentifikacije.

Koga pogađa?

Rizik ugrožava sve organizacije koje koriste Apache Tomcat - od malih do krupnih preduzeća, posebno one koje su oslanjaju na Tomcat za hostovanje web aplikacija sa osetljivim podacima. Kritičan je rizik za instance koje koriste JNDIRealm sa GSSAPI autentifikacijom ili gde default servis obrađuje osetljiv sadržaj i upravničke funkcije.

Kako se zaštititi?

  • Hitno ažurirajte Tomcat na najnovije zakrpljene verzije (11.0.5, 10.1.37, ili 9.0.101)
  • Verifikujte da su sigurnosna ograničenja u web.xml konfiguraciji pravilno postavljena posle ažuriranja
  • Pregledajte pristupe zaštićenim resursima i administrativnim funkcijama kroz default servis
  • Ako koristite JNDIRealm sa GSSAPI bind autentifikacijom, prioritizujte hitnu primenu zakrpe
  • Auditujte pristupe iz dostupnih log fajlova da biste identifikovali moguće neovlašćene pristupe

Tehnički detalji

CVE-2026-55957 (Važna težina) - Greška u JNDIRealm komponenti kada je konfigurisan sa GSSAPI autentifikovanim bind-om. Sigurnosna ograničenja za HTTP metode nisu bila pravilno primenjivana na default servlet, što omogućava zaobilaženje. Pogođene verzije: Tomcat 11.0.0-M1 kroz 11.0.4, 10.1.0-M1 kroz 10.1.36, 9.0.0.M1 kroz 9.0.100.

CVE-2026-55956 (Umjerena težina) - Default Servlet ograničenja zaobilaženja - slična greška sa širiim rasponom pogođenih verzija: Tomcat 11.0.0-M1 kroz 11.0.22, 10.1.0-M1 kroz 10.1.55, 9.0.0.M1 kroz 9.0.118. Problem je u tome što Tomcat ne uvažava pravilno definisana HTTP metod ograničenja, omogućavajući pristup preko neograničenih glagola (PUT, DELETE, itd.).

Preporuka Sajber Radara

Organizacije koje koriste Apache Tomcat trebaju hitno da procene stanje svojih instalacija i primene dostupne zakrpe. Pošto Apache Software Foundation nije izdao privremena rešenja, ažuriranje je jedina pouzdan način zaštite. Obavezna je post-ažurna verifikacija sigurnosnih ograničenja.