Descubra se seu servidor Apache Tomcat está vulnerável às falhas críticas de bypass de autenticação e autorização (CVE-2026-43512, CVE-2026-43513, CVE-2026-43515). Comandos reais para Ubuntu, script de correção automática, mitigações com iptables e recomendação de leitura para aprofundar a segurança. Atualize agora e proteja seus dados!
A vulnerabilidade CVE-2026-43512 (autenticação DIGEST) permite que qualquer usuário desconhecido seja aceito como autenticado.
A CVE-2026-43513 no LockOutRealm trata nomes de usuário com diferenciação de maiúsculas/minúsculas, permitindo contornar bloqueios de conta. Já a CVE-2026-43515 ocorre quando múltiplas restrições de método HTTP conflitam, resultando em autorização indevida.
Como verificar se você está vulnerável
Passo 1 – Descubra a versão do Tomcat instalada
# Método 1: via pacote dpkg (Ubuntu/Debian) dpkg -l | grep -E "tomcat[0-9]" | awk '{print $2, $3}' # Método 2: via catalina.jar (mais preciso) java -cp /usr/share/tomcat*/lib/catalina.jar org.apache.catalina.util.ServerInfo 2>/dev/null | grep "Server number"
Passo 2 – Compare com versões vulneráveis
#!/bin/bash # Correção automática para vulnerabilidades Tomcat no Ubuntu (ESM/Ubuntu Pro) set -e echo "[1/4] Verificando versões vulneráveis do Tomcat..." dpkg -l | grep -E "tomcat[0-9]" | awk '{print $2, $3}' echo "[2/4] Habilitando repositórios ESM (Ubuntu Pro)..." sudo pro attach # ou use sua token Ubuntu Pro sudo pro enable esm-apps echo "[3/4] Atualizando pacotes..." sudo apt update sudo apt upgrade --only-upgrade -y tomcat6 tomcat7 tomcat8 tomcat9 echo "[4/4] Reiniciando serviço Tomcat..." sudo systemctl restart tomcat* echo "✅ Correção aplicada com sucesso! Reinício completo do Tomcat necessário."
Nota: Correções para Ubuntu 14.04 e 16.04 LTS estão disponíveis apenas via Ubuntu Pro (ESM). Execute sudo pro attach para ativar.
📚 Produto de afiliado recomendado
Livro: Tomcat: The Definitive Guide (2nd Edition)
Aprenda a configurar, otimizar e proteger seu servidor Tomcat de forma completa.
✅ Cobertura completa de realms, roles, usuários e fontes de dados JDBC
✅ Seção dedicada à segurança ("Securing Tomcat to keep online thugs at bay")
✅ Guia passo a passo de instalação, deploy e troubleshooting
✅ Mult plataforma: Windows, Linux, macOS, Solaris e FreeBSD
Tomcat: The Definitive Guide(2nd Edition) (anúncio) -> https://amzn.to/4uRyYgq
Mitigação alternativa (caso não possa atualizar agora)
Opção 1 – Desabilitar autenticação DIGEST
# Localize arquivos de configuração do Tomcat find / -name "web.xml" -path "*/tomcat*/conf/*" 2>/dev/null # Edite web.xml e remova ou comente a seção <auth-method>DIGEST</auth-method> # Substituindo por BASIC ou FORM se necessário # Em seguida, reinicie o Tomcat: sudo systemctl restart tomcat*
Opção 2 – Bloquear acesso externo via iptables (acesso apenas local)
# Bloquear porta 8080 para redes externas (substitua eth0 pela interface correta) sudo iptables -A INPUT -i eth0 -p tcp --dport 8080 -j DROP # Permitir apenas localhost sudo iptables -A INPUT -i lo -p tcp --dport 8080 -j ACCEPT # Persistir regras sudo apt install iptables-persistent -y sudo netfilter-persistent save
Configure um proxy reverso que exija autenticação HTTP básica antes de encaminhar ao Tomcat, adicionando uma camada extra de segurança até que a correção oficial possa ser aplicada.
Conclusão
As vulnerabilidades recém-descobertas no Apache Tomcat representam um risco crítico para qualquer ambiente que utilize versões afetadas, especialmente com autenticação DIGEST ativa. A atualização para as versões corrigidas (11.0.22, 10.1.55 ou 9.0.118) é urgente e indispensável.
Se você ainda depende de versões mais antigas do Ubuntu (14.04 LTS ou 16.04 LTS), o Ubuntu Pro com ESM é obrigatório para acessar os patches de segurança. Enquanto a correção não puder ser aplicada, implemente as mitigações alternativas imediatamente. Não deixe seu servidor exposto!
Nenhum comentário:
Postar um comentário