top of page

Cảnh báo bảo mật: Hai lỗ hổng mới trên Apache Tomcat đe dọa an toàn hệ thống mạng

Tổ chức Apache Software Foundation (ASF) vừa phát hiện và công bố hai lỗ hổng bảo mật đáng chú ý nằm trong Apache Tomcat - một thành phần máy chủ web được sử dụng rất phổ biến hiện nay. Những lỗ hổng này có thể tạo điều kiện cho kẻ xấu vượt qua các rào cản kiểm soát và cơ chế xác thực, từ đó xâm nhập trái phép vào các ứng dụng web vốn đang được bảo vệ nghiêm ngặt.

Lỗ hổng CVE-2026-55957: Nguy cơ bỏ qua các ràng buộc bảo mật

Lỗ hổng đầu tiên mang mã định danh CVE-2026-55957 và được xếp vào nhóm có mức độ nghiêm trọng cao. Sự cố này xảy ra đối với thành phần JNDIRealm của Tomcat khi hệ thống được thiết lập cấu hình đi kèm GSSAPI authenticated bind.

Nguyên nhân cốt lõi là do hệ thống thực thi không chính xác các quy tắc an toàn trên "default servlet" (thành phần xử lý các yêu cầu mặc định). Khi đó, các phương thức HTTP (cách thức gửi yêu cầu dữ liệu) được thiết lập hoặc bỏ qua trong quy tắc truy cập lại bị hệ thống ngó lơ một cách âm thầm.

Hệ quả là kẻ tấn công có thể dễ dàng né tránh các hạn chế sẵn có, tiếp cận trực tiếp các tài nguyên quan trọng mà không cần phải trải qua quá trình xác thực đầy đủ. Đây là một mối đe dọa lớn đối với bất kỳ hệ thống nào đang vận hành cấu hình này.

  • Các phiên bản bị ảnh hưởng:

    • Apache Tomcat phiên bản 11.0.x (trước bản 11.0.5)

    • Apache Tomcat phiên bản 10.1.x (trước bản 10.1.37)

    • Apache Tomcat phiên bản 9.0.x (trước bản 9.0.101)

Khuyến nghị: Người dùng cần nhanh chóng nâng cấp lên các phiên bản Tomcat 11.0.5, 10.1.37, hoặc 9.0.101 trở lên để khắc phục nguy cơ.

Lỗ hổng CVE-2026-5596: Sai sót tồn tại qua nhiều thế hệ phiên bản

Lỗ hổng thứ hai được theo dõi dưới mã CVE-2026-5596 và được đánh giá ở mức độ trung bình. Điểm chung của lỗ hổng này với CVE-2026-55957 là đều bắt nguồn từ việc các ràng buộc bảo mật áp dụng cho default servlet không thể thực thi đúng cách đối với các phương thức HTTP được cấu hình hoặc loại trừ.

Dù mức độ nguy hiểm được xếp thấp hơn lỗ hổng đầu tiên, nhưng CVE-2026-5596 lại có phạm vi ảnh hưởng rộng hơn trên nhiều đời phiên bản Tomcat. Điều này chứng tỏ lỗi hệ thống đã âm thầm tồn tại qua rất nhiều vòng đời phát hành phần mềm trước khi bị phát hiện.

  • Các phiên bản bị ảnh hưởng:

    • Apache Tomcat phiên bản 11.0.x (trước bản 11.0.23)

    • Apache Tomcat phiên bản 10.1.x (trước bản 10.1.56)

    • Apache Tomcat phiên bản 9.0.x (trước bản 9.0.119)

Khuyến nghị: Nhà phát triển khuyến cáo người dùng cập nhật lên các phiên bản Tomcat 11.0.23, 10.1.56, hoặc 9.0.119 trở lên.

Cách thức các lỗ hổng vận hành và gây nguy hiểm

Điểm mấu chốt của cả hai lỗi bảo mật trên nằm ở cách thức Apache Tomcat xử lý các định nghĩa ràng buộc bảo mật (<security-constraint>) dành cho default servlet.

Cách thức Apache Tomcat xử lý các định nghĩa ràng buộc bảo mật (<security-constraint>) dành cho default servlet
Cách thức Apache Tomcat xử lý các định nghĩa ràng buộc bảo mật (<security-constraint>) dành cho default servlet

Trong thực tế, khi các quản trị viên thiết lập giới hạn quyền truy cập đối với một số phương thức HTTP cụ thể - chẳng hạn như chặn các lệnh chỉnh sửa hoặc xóa dữ liệu (PUT hoặc DELETE) nhưng vẫn cho phép xem dữ liệu thông thường (GET) - thì thuật toán đối khớp yêu cầu của Tomcat lại hoạt động không đồng nhất. Hệ thống đã không tôn trọng các lệnh cấm ở cấp độ phương thức này một cách nhất quán.

Điều này đồng nghĩa với việc các điểm cuối (endpoint) tưởng chừng như đã được bảo vệ nghiêm ngặt bằng các quy tắc chặn phương thức HTTP vẫn có thể bị tiếp cận thông qua các phương thức không bị giới hạn. Từ đó, kẻ xấu có thể lợi dụng sơ hở để xâm nhập sâu vào mạng nội bộ hoặc chiếm quyền kiểm soát hệ thống.

Các biện pháp phòng ngừa và xử lý khẩn cấp

Đối với các đơn vị và tổ chức đang vận hành những phiên bản Tomcat nằm trong danh sách bị ảnh hưởng, việc cài đặt bản vá mới là ưu tiên hàng đầu. Hành động này đặc biệt khẩn thiết đối với:

  • Các hệ thống mà default servlet có nhiệm vụ xử lý các nội dung nhạy cảm.

  • Các hệ thống sử dụng JNDIRealm kết hợp GSSAPI bind phục vụ cho việc xác thực dựa trên LDAP.

Tập đoàn Apache Software Foundation khẳng định hoàn toàn không có giải pháp tình thế hay biện pháp thay thế nào khác ngoài việc nâng cấp phần mềm. Việc lên đời các phiên bản đã được vá lỗi là con đường duy nhất và an toàn nhất để loại bỏ rủi ro.

Ngoài ra, sau khi quá trình nâng cấp hoàn tất, các quản trị viên cũng cần chủ động rà soát lại các ràng buộc bảo mật trong tệp web.xml hiện tại. Việc này giúp xác nhận chắc chắn rằng các cơ chế kiểm soát quyền truy cập đang hoạt động chính xác như mong muốn.

Việc xuất hiện các lỗ hổng bảo mật trên Apache Tomcat là lời nhắc nhở quan trọng cho các nhà quản trị hệ thống về việc rà soát an toàn thông tin. Để bảo vệ toàn diện cho các ứng dụng web và dữ liệu nội bộ trước nguy cơ xâm nhập, việc chủ động cập nhật lên phiên bản mới nhất theo khuyến nghị từ nhà phát triển là giải pháp tối ưu và đáng tin cậy nhất lúc này.

Bình luận


theo dõi ipsip việt nam trên google news.png
conact-ipsip-vietnam
zalo
đặt lịch hẹn
bottom of page