← Voltar ao blog

Falhas Críticas no Tomcat Habilitam DoS, Bypass de Autenticação e Roubo de Credenciais

O aviso de segurança do Ubuntu USN-8417-1 aborda seis vulnerabilidades no Apache Tomcat afetando esgotamento de memória, validação HTTP/2, bypass de autenticação e vazamento de credenciais WebSocket. Organizações executando Tomcat devem priorizar patches para mitigar vetores de ataque remoto.

TL;DR

  • Limites de corpo de requisição WebDAV ausentes; atacantes podem disparar esgotamento de memória e negação de serviço
  • Falha de validação de header HTTP/2 pode permitir execução remota de código ou crashes de servidor
  • Headers de autenticação vazam durante upgrades WebSocket e redirecionamentos, expondo credenciais
  • Problemas de autenticação digest e sensibilidade de caso em LockOutRealm habilitam bypass de autenticação
  • Falha de manipulação de múltiplas restrições de método enfraquece controles de autorização

O Ubuntu lançou o aviso de segurança USN-8417-1 documentando seis vulnerabilidades no Apache Tomcat que abrangem múltiplas superfícies de ataque: esgotamento de recursos, manipulação de protocolo, gerenciamento de credenciais e controle de acesso. Essas falhas afetam o servidor de aplicações Java amplamente implantado e representam risco significativo para organizações que dependem do Tomcat para cargas de trabalho em produção.

As vulnerabilidades variam de condições de negação de serviço acionadas por requisições WebDAV oversized até problemas de bypass de autenticação em autenticação digest e mecanismos de bloqueio de conta. Mais criticamente, manipulação inadequada de headers durante upgrades WebSocket e processamento HTTP/2 poderiam habilitar execução remota de código ou divulgação de credenciais.

Negação de Serviço e Esgotamento de Recursos

  • CVE-2026-41284: Tomcat falha em aplicar limites de tamanho de corpo de requisição em operações WebDAV LOCK e PROPFIND, permitindo atacantes esgotarem memória do servidor
  • Consumo de memória descontrolado leva à indisponibilidade de aplicação e potenciais falhas em cascata em ambientes multi-tenant
  • Afeta implantações expondo funcionalidade WebDAV sem filtragem de requisição externa

Autenticação e Vazamento de Credenciais

  • CVE-2026-42498: Headers de autenticação HTTP persistem durante upgrades de conexão WebSocket e redirecionamentos HTTP, expondo credenciais sensíveis a observadores de rede
  • CVE-2026-43512: Falhas de validação de autenticação digest permitem atacantes contornarem restrições de autenticação
  • CVE-2026-43513: Manipulação de sensibilidade de caso em LockOutRealm permite atacantes contornarem proteções de bloqueio de conta e potencialmente acessarem informações sensíveis

Falhas de Protocolo e Autorização

  • CVE-2026-41293: Validação inadequada de campo de header HTTP/2 pode disparar crashes de servidor ou execução remota de código
  • Avaliação incompleta de restrição de autorização quando múltiplas restrições de método definem o mesmo método HTTP enfraquece aplicação de controle de acesso
  • Essas falhas afetam lógica de manipulação de protocolo central e roteamento de requisição

Fontes

Fontes

Atualizações de segurança por e-mail

Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.

Falhas Críticas no Tomcat Habilitam DoS, Bypass de Autenticação e Roubo de Credenciais — Agent Breach Blog | Agent Breach