Apache Tomcat 紧急修复多个漏洞

聚焦源代码安全网罗国内外最新资讯编译代码卫士Apache软件基金会发布紧急更新修复了位于 Apache Tomcat 中的多个漏洞。在这些漏洞中其中一个是严重的补丁错误可导致服务器面临拦截绕过的风险其它问题与影响证书认证和填充预言机攻击有关。管理员必须立即更新部署保护环境免受潜在利用。EncryptInterceptor 绕过与填充预言机攻击其中最需紧急修复的问题源于一个有缺陷的安全补丁。最初安全研究人员发现了“重要”级别的漏洞 CVE-2026-29146其问题在于 EncryptInterceptor 默认使用了密码块链接 (CBC) 模式。该配置使服务器易受填充预言机攻击可能导致恶意人员解密被截获的通信流量。Oligo Security 公司的研究人员 Uri Katz 和 Avi Lumelsky 发现并报告了这一初始的加密弱点。为解决填充预言机威胁Apache 发布了一轮初始更新。然而该补丁引入了一个新的、同等严重的漏洞CVE-2026-34486。新漏洞由 striga.ai 的 Bartlomiej Dmitruk 发现可导致攻击者完全绕过 EncryptInterceptor。由于初始补丁存在缺陷运行中间更新版本的组织当前正暴露于该绕过机制的风险之下。除了 EncryptInterceptor 相关问题外Apache 还修复了一个“中等”严重程度的漏洞 CVE-2026-34500。该漏洞影响 Tomcat 中的在线证书状态协议OCSP检查功能。在特定条件下当使用外部函数与内存 (FFMAPI 时系统在 OCSP 验证期间会出现管理员已明确禁用的软失败行为。结果导致CLIENT_CERT 认证未能按预期失败产生了意外的认证行为可能危及访问控制。早稻田大学的研究人员 Haruki Oyama 发现并报告了这一证书验证错误CVE-2026-34500。这些漏洞影响多个 Apache Tomcat 分支可导致 EncryptInterceptor 被绕过的有缺陷补丁CVE-2026-34486。具体影响以下版本Apache Tomcat 11.0.20Apache Tomcat 10.1.53Apache Tomcat 9.0.116这三个漏洞包括最初的填充预言机攻击及证书验证失败影响更多早期版本Apache Tomcat 11.0.0-M1 至 11.0.20Apache Tomcat 10.1.0-M1 至 10.1.53Apache Tomcat 9.0.13 至 9.0.116为全部修复这三个漏洞包括有缺陷的 EncryptInterceptor 补丁及 OCSP 证书验证失败管理员必须将其系统升级至最新的安全版本。Apache 软件基金会强烈建议应用以下更新将 Apache Tomcat 11.x 部署升级至 11.0.21 或更高版本将 Apache Tomcat 10.x 部署升级至 10.1.54 或更高版本将 Apache Tomcat 9.x 部署升级至 9.0.117 或更高版本运行已停止支持的旧版本Tomcat 的组织机构应立即迁移至仍在支持的分支因为这些遗留系统不会收到针对填充预言机攻击及后续绕过漏洞的补丁。开源卫士试用地址https://oss.qianxin.com/#/login代码卫士试用地址https://sast.qianxin.com/#/login推荐阅读已存在13年的Apache ActiveMQ 严重漏洞可用于远程执行命令Apache Syncope 漏洞可用于劫持用户会话Apache Struts 2 严重 XXE 漏洞可用于窃取敏感数据Apache StreamPipes 严重漏洞可用于获取管理员权限速修复Apache Tika 中存在严重的满分XXE 漏洞原文链接https://cybersecuritynews.com/apache-tomcat-vulnerabilities-encryptinterceptor/题图Pixabay License本文由奇安信编译不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。奇安信代码卫士 (codesafe)国内首个专注于软件开发安全的产品线。觉得不错就点个 “在看” 或 赞” 吧~