Quatro Vulnerabilidades Críticas do Tomcat Expõem Riscos de DoS, RCE e Bypass de Autenticação
O aviso de segurança Ubuntu USN-8450-1 aborda quatro vulnerabilidades no Apache Tomcat afetando consumo de memória, validação HTTP/2, exposição de credenciais e aplicação de autorização. Organizações executando Tomcat devem priorizar patches para mitigar ameaças de negação de serviço, execução remota de código e bypass de controle de acesso.
TL;DR
- CVE-2026-41284: Corpos de requisição WebDAV ilimitados habilitam ataques DoS de esgotamento de memória
- CVE-2026-41293: Falha de validação de header HTTP/2 permite crashes e potencial execução arbitrária de código
- CVE-2026-42498: Headers de autenticação vazam durante upgrades WebSocket e redirecionamentos
- CVE-2026-43515: Múltiplas restrições de método permitem bypass de autorização para recursos protegidos
Usuários do Apache Tomcat enfrentam uma janela crítica de segurança com o lançamento do aviso de segurança Ubuntu USN-8450-1, que documenta quatro vulnerabilidades distintas abrangendo vetores de negação de serviço, execução remota de código, divulgação de informações e bypass de controle de acesso. Essas falhas afetam funcionalidades principais do Tomcat incluindo manipulação de requisições WebDAV, processamento do protocolo HTTP/2, gerenciamento de conexões WebSocket e avaliação de restrições de autorização.
As vulnerabilidades variam de impacto moderado a severo. Ataques de esgotamento de memória via requisições WebDAV oversized podem degradar a disponibilidade, enquanto falhas de validação de headers HTTP/2 criam caminhos para execução remota de código. Vazamento de credenciais durante transições de protocolo e lacunas na lógica de autorização expandem ainda mais a superfície de ataque para implantações comprometidas.
Negação de Serviço e Esgotamento de Recursos
- CVE-2026-41284 explora limites de tamanho de corpo de requisição ausentes em operações WebDAV LOCK e PROPFIND
- Atacantes podem criar payloads oversized para disparar alocação de memória ilimitada em processos Tomcat
- Ataques sustentados levam à indisponibilidade de serviço e possíveis falhas em cascata em aplicações dependentes
Execução Remota de Código via Falha do Protocolo HTTP/2
- CVE-2026-41293 decorre de validação inadequada de campos de header HTTP/2 durante análise de requisição
- Headers malformados podem disparar crashes ou corromper o estado de execução do Tomcat, permitindo injeção de código
- Este vetor é particularmente perigoso em ambientes com balanceamento de carga onde processos Tomcat lidam com tráfego externo não confiável
Exposição de Credenciais de Autenticação
- CVE-2026-42498 afeta manipulação de headers de autenticação HTTP durante upgrades de protocolo WebSocket e redirecionamentos HTTP
- Credenciais permanecem em headers de requisição e se propagam para sistemas downstream ou são expostas em logs
- Atacantes interceptando ou registrando essas transições podem coletar tokens de sessão e material de autenticação
Bypass de Autorização Através de Lógica de Restrição
- CVE-2026-43515 ocorre quando múltiplas restrições de método definem regras de método HTTP sobrepostas (GET, POST, etc.)
- A avaliação de autorização do Tomcat falha em aplicar adequadamente todas as restrições aplicáveis, permitindo acesso não autorizado
- Recursos protegidos se tornam acessíveis a usuários não autenticados ou com privilégios insuficientes dependendo da configuração de restrição
Remediação e Avaliação de Risco
- Aplique patches de segurança Ubuntu imediatamente; verifique a versão do Tomcat contra o aviso USN-8450-1
- Audite configurações WebDAV e desabilite se não for necessário; implemente limites de tamanho de requisição na camada de proxy reverso
- Revise uso de HTTP/2 e WebSocket; considere desabilitar até que patches sejam implantados
- Rotacione credenciais e audite logs de acesso para evidência de exploração
- Teste restrições de autorização pós-patch para confirmar aplicação adequada de controles de acesso em nível de método
Fontes
Fontes
Atualizações de segurança por e-mail
Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.