13 Ağustos 2025 | CVSS 9.8 – High
Apache Tomcat projesi, birden fazla desteklenen sürümü etkileyen iki kritik güvenlik açığını gidermek için önemli güncellemeler yayınladı. Açıklar, CVE-2025-55668 ve CVE-2025-48989, oturum sabitleme (session fixation) ve HTTP/2 üzerinden yapılan MadeYouReset DDoS saldırılarına imkan tanıyabiliyor.
Açıkların Özeti
1. Session Fixation – CVE-2025-55668
- Etki: Tomcat rewrite valve üzerinden oturum sabitleme
- Etkilenen Sürümler:
- Tomcat 11.0.0-M1 → 11.0.7
- Tomcat 10.1.0-M1 → 10.1.41
- Tomcat 9.0.0-M1 → 9.0.105
- Risk: Saldırgan, kullanıcı oturum ID’sini önceden belirleyerek oturumu ele geçirebilir
- Çözüm: Güncelleme: 11.0.8, 10.1.42, 9.0.106
2. HTTP/2 MadeYouReset – CVE-2025-48989
- Etki: Improper Resource Shutdown / Release; Tomcat sunucularının HTTP/2 reset stream işlemlerinde kaynak tüketimi
- Etkilenen Sürümler:
- Tomcat 11.0.0-M1 → 11.0.9
- Tomcat 10.1.0-M1 → 10.1.43
- Tomcat 9.0.0-M1 → 9.0.107
- Risk: Saldırgan, HTTP/2 stream reset mekanizmasını kötüye kullanarak OutOfMemoryError, hizmet kesintisi (DoS) oluşturabilir
- Çözüm: Güncelleme: 11.0.10, 10.1.44, 9.0.108
Teknik Detaylar ve Sömürü Mekanizması
- HTTP/2 Multiplexing kullanılarak bir TCP bağlantısı üzerinden çoklu stream’ler işlenir.
- Saldırgan stream reset frame’lerini manipüle ederek sunucunun backend kaynaklarını tüketir.
- Tomcat, reset edilen stream’leri işleme devam ettiği için bellek sızıntısı oluşur ve sunucu yanıt veremez hale gelir.
- Authentication gerekmez, saldırı uzaktan yapılabilir.
Tespit ve Kontrol Yöntemleri
# Tomcat versiyon kontrolü
catalina.sh version
# HTTP/2 aktif mi kontrolü
grep "protocol" /path/to/server.xml
# Olası bellek tüketimlerini izleme
top -b -n 1 | grep java
Acil Mitigasyon
- Etkilenen sürümleri derhal güncelleyin.
- Geçici olarak HTTP/2 erişimini kısıtlayın veya rate limit uygulayın.
- Bellek kullanımı ve anomalileri log’lardan takip edin.
Risk Değerlendirmesi
- Session Fixation: Saldırgan, kullanıcı oturumlarını ele geçirebilir.
- MadeYouReset: Sunucular tamamen hizmet dışı kalabilir, CPU ve bellek tükenir.
- Impact: Kamuya açık web uygulamaları, kritik altyapılar ve yüksek trafikli servisler.
Acil Eylem: Apache Tomcat’in tüm etkilenen sürümleri derhal güncellenmelidir. Özellikle HTTP/2 ile bağlantı kabul eden uygulamalar için patching öncelikli olmalıdır.
About the Author
