Cảnh báo khẩn cấp: Lỗ hổng Apache Tomcat CVE-2026-24733

Apache Tomcat vừa công bố CVE-2026-24733, một lỗ hổng bảo mật có mức độ nghiêm trọng thấp (Low-severity). Đây là một lỗ hổng bỏ qua ràng buộc bảo mật (security constraint bypass) có thể bị kích hoạt thông qua các yêu cầu HTTP/0.9 khi các quy tắc kiểm soát truy cập (access-control rules) được cấu hình theo một cách cụ thể. Việc khắc phục lỗ hổng Apache Tomcat này là cần thiết để duy trì an toàn hệ thống.
Đội ngũ bảo mật Apache Tomcat đã xác định được vấn đề này và bản khuyến cáo gốc đã được công bố vào ngày 17 tháng 02 năm 2026. Sự tồn tại của CVE-2026-24733 nhấn mạnh tầm quan trọng của việc hiểu rõ các tương tác giao thức cũ trong môi trường hiện đại.
Hiểu rõ Cơ chế Khai thác lỗ hổng CVE-2026-24733
Về cơ bản, lỗ hổng Apache Tomcat này phát sinh từ việc Tomcat không hạn chế các yêu cầu HTTP/0.9 chỉ với phương thức GET. HTTP/0.9 là một biến thể giao thức lỗi thời, tối giản, ra đời trước các phương thức và cơ chế xử lý tiêu đề hiện đại, và ngày nay hiếm khi được sử dụng có chủ đích.
Tuy nhiên, nếu một kẻ tấn công có thể tiếp cận một phiên bản Tomcat và gửi lưu lượng truy cập được tạo thủ công theo phong cách HTTP/0.9, cách Tomcat xử lý phương thức có thể tạo ra một lỗ hổng không mong muốn trong việc thực thi các ràng buộc bảo mật.
Cơ chế Bỏ qua Ràng buộc Bảo mật
Việc bỏ qua xảy ra khi một ràng buộc bảo mật của Tomcat được cấu hình để cho phép các yêu cầu HEAD tới một URI cụ thể, đồng thời từ chối các yêu cầu GET tới cùng URI đó. Trong các phiên bản HTTP thông thường, bộ quy tắc này sẽ ngăn chặn việc truy xuất nội dung tài nguyên thông qua GET.
Với CVE-2026-24733, một kẻ tấn công có thể gửi một yêu cầu HEAD không hợp lệ theo quy cách bằng cách sử dụng HTTP/0.9. Bằng cách này, kẻ tấn công có thể bỏ qua ràng buộc đã cấu hình cho các yêu cầu GET, mặc dù về mặt lý thuyết nó phải bị từ chối.
Các Điều kiện Kích hoạt rủi ro bảo mật
Vấn đề này mang tính tình huống theo thiết kế, đòi hỏi các điều kiện cụ thể để có thể bị khai thác:
- Cấu hình ràng buộc cụ thể: Yêu cầu HEAD được phép, trong khi yêu cầu GET bị từ chối đối với cùng một tài nguyên.
- Đường dẫn tấn công cho phép: Cần có một đường dẫn tấn công mà trong đó quá trình phân tích HTTP/0.9 được chấp nhận hoàn toàn.
Mặc dù vậy, lỗ hổng Apache Tomcat này vẫn liên quan đến các tích hợp kế thừa, các máy khách bất thường và một số kết hợp proxy/topology mà trong đó việc chuẩn hóa giao thức có thể không xảy ra như mong đợi. Đây là một cảnh báo CVE quan trọng đối với các hệ thống phức tạp.
Các Phiên bản Apache Tomcat Bị Ảnh hưởng
Các phiên bản bị ảnh hưởng bao gồm cả các nhánh Tomcat hiện đang được duy trì và các bản phát hành đã kết thúc vòng đời (End-of-Life – EOL).
- Apache Tomcat 11.0.0-M1 đến 11.0.0-M18
- Apache Tomcat 10.1.0-M1 đến 10.1.18
- Apache Tomcat 9.0.0-M1 đến 9.0.86
- Apache Tomcat 8.5.0 đến 8.5.99
Các tổ chức đang chạy các phiên bản EOL nên coi đây là một lời nhắc nhở để di chuyển sang một nhánh được hỗ trợ, vì các bản vá bảo mật có thể không khả thi để backport một cách an toàn. Việc nâng cấp là biện pháp tối ưu để giải quyết lỗ hổng Apache Tomcat này.
Khuyến nghị và bản vá bảo mật
Apache khuyến nghị nâng cấp lên các bản phát hành đã được vá lỗi như sau:
- Apache Tomcat 11.0.0-M19 trở lên
- Apache Tomcat 10.1.19 trở lên
- Apache Tomcat 9.0.87 trở lên
- Apache Tomcat 8.5.100 trở lên
Thông tin chi tiết về các bản vá và khuyến nghị nâng cấp có thể được tìm thấy trong thông báo chính thức của Apache. (Apache Tomcat Security Advisory)
Là một bước củng cố bảo mật thực tế, các nhóm nên xem xét lại mục đích kiểm soát truy cập giữa HEAD và GET trên các điểm cuối được bảo vệ. Đồng thời, cần xác thực rằng bất kỳ reverse proxy hoặc load balancer nào phía trước không cho phép hành vi hạ cấp giao thức (protocol downgrade) ngoài mong đợi, tránh tạo điều kiện cho việc khai thác lỗ hổng CVE này.
Việc hiểu và áp dụng các biện pháp này sẽ giúp giảm thiểu rủi ro an toàn thông tin từ lỗ hổng Apache Tomcat CVE-2026-24733, đảm bảo an ninh mạng cho hệ thống. Đây là một phần quan trọng của chiến lược bảo mật thông tin toàn diện.







