Уязвимости Apache Tomcat позволяют злоумышленникам инициировать DoS-атаку
Обнаружена критическая уязвимость безопасности в реализации HTTP/2 Apache Tomcat , позволяющая злоумышленникам запускать разрушительные атаки типа «отказ в обслуживании» (DoS) на веб-серверы.
Уязвимость, обозначенная как CVE-2025-48989 и получившая название атаки «Made You Reset», затрагивает несколько версий популярного контейнера сервлетов Java и представляет значительную угрозу для веб-приложений по всему миру.
Уязвимость безопасности, оцененная как высокая, затрагивает версии Apache Tomcat с 11.0.0-M1 по 11.0.9, с 10.1.0-M1 по 10.1.43 и с 9.0.0.M1 по 9.0.107.
Основные выводы
1. Уязвимость HTTP/2 в Apache Tomcat позволяет злоумышленникам выводить из строя серверы.
2. Уязвимость затрагивает версии Tomcat 9.0.0–11.0.9 и потенциально может повлиять на тысячи веб-серверов по всему миру.
3. Немедленно обновитесь, чтобы предотвратить эксплуатацию.
Более старые версии, срок поддержки которых истек, также могут быть уязвимы, что потенциально может повлиять на тысячи веб-серверов по всему миру.
Уязвимость была обнаружена исследователями в области безопасности Галем Бар Нахумом, Анат Бремлер-Барр и Янивом Харелем из Тель-Авивского университета, которые обнародовали свои выводы 13 августа 2025 года.
Использование HTTP/2 в Apache Tomcat
Атака «Made You Reset» использует уязвимости в реализации протокола HTTP/2 Tomcat, в частности, нацеливаясь на механизм сброса соединения.
При успешном выполнении атака обычно проявляется как ошибка OutOfMemoryError, в результате чего целевой сервер исчерпывает доступные ресурсы памяти и перестает отвечать на законные запросы.
Уязвимость кроется в том, как Tomcat обрабатывает сброс потоков HTTP/2 и управление соединениями. Злоумышленники могут создавать вредоносные HTTP/2-запросы, которые заставляют сервер выделять избыточные ресурсы памяти без их надлежащего освобождения.
Такое поведение утечки памяти может повторяться неоднократно, в конечном итоге приводя к переполнению доступного пула памяти сервера и возникновению состояния отказа в обслуживании.
Вектор атаки использует функцию мультиплексирования HTTP/2, при которой несколько потоков могут обрабатываться одновременно по одному TCP-соединению .
Манипулируя кадрами сброса потока и управлением состоянием соединения, злоумышленники могут заставить Tomcat поддерживать многочисленные полуоткрытые соединения или неполные состояния потока, что приведет к исчерпанию ресурсов.
| Факторы риска | Подробности |
| Затронутые продукты | – Apache Tomcat 11.0.0-M1 – 11.0.9 – Apache Tomcat 10.1.0-M1 – 10.1.43 – Apache Tomcat 9.0.0.M1 – 9.0.107 – Более старые версии EOL (потенциально затронутые) |
| Влияние | Атака типа «отказ в обслуживании» (DoS) |
| Предпосылки для эксплойта | – Протокол HTTP/2 включен на целевом сервере. – Сетевой доступ для отправки вредоносных запросов HTTP/2. – Возможность создания кадров сброса потока HTTP/2. – Аутентификация не требуется. |
| Серьезность | Высокий |
Смягчение последствий
Организация Apache Software Foundation выпустила исправления для устранения этой критической уязвимости. Организациям, использующим уязвимые версии Tomcat, следует немедленно обновиться до Apache Tomcat 11.0.10, 10.1.44 или 9.0.108 или более поздних версий.
Эти обновления включают исправления для реализации HTTP/2, которые предотвращают вектор атаки «Made You Reset».
Системным администраторам следует отдать приоритет этим обновлениям, особенно для общедоступных веб-приложений, которые принимают соединения HTTP/2.
Высокий уровень серьезности уязвимости указывает на то, что ее успешная эксплуатация может существенно повлиять на доступность сервисов и бизнес-операции.
Группы безопасности также должны отслеживать установки Tomcat на предмет необычных моделей потребления памяти и внедрять дополнительные средства защиты на уровне сети, такие как ограничение скорости и регулирование соединений, чтобы снизить потенциальные атаки во время развертывания исправлений в своей инфраструктуре.
About The Author
