Contexto e escopo das vulnerabilidades
A Apache Software Foundation lançou atualizações de segurança emergenciais para abordar múltiplas vulnerabilidades no Apache Tomcat. Os últimos advisories destacam um erro de patching crítico que inadvertidamente expôs servidores a um bypass de interceptação, bem como problemas afetando autenticação de certificado e ataques de oracle de preenchimento. Os administradores devem atualizar suas implantações imediatamente para proteger seus ambientes contra exploração potencial.
O problema mais urgente decorre de um patch de segurança defeituoso. Inicialmente, pesquisadores de segurança descobriram a CVE-2026-29146, uma falha de severidade "Importante" onde o EncryptInterceptor usava Cipher Block Chaining (CBC) por padrão. Esta configuração deixava o servidor vulnerável a um ataque de oracle de preenchimento, potencialmente permitindo que atores maliciosos decifrassem o tráfego interceptado. Pesquisadores da Oligo Security, Uri Katz e Avi Lumelsky, identificaram e relataram esta fraqueza criptográfica inicial.
Para resolver a ameaça de oracle de preenchimento, a Apache lançou uma rodada inicial de atualizações. No entanto, a correção introduziu uma nova vulnerabilidade igualmente grave rastreada como CVE-2026-34486. Identificada por Bartlomiej Dmitruk da striga.ai, esta falha subsequente permitia que atacantes contornassem completamente o EncryptInterceptor. Como o patch inicial era defeituoso, as organizações executando as versões de atualização intermediárias estão atualmente expostas a este mecanismo de bypass.
Detalhes técnicos e impacto
Alonge dos problemas do EncryptInterceptor, a Apache abordou uma vulnerabilidade de severidade "Moderada" rastreada como CVE-2026-34500. Esta falha impacta as verificações do Protocolo de Status de Certificado Online (OCSP) dentro do Tomcat. Em condições específicas, quando a API Foreign Function and Memory (FFM) é usada, o sistema experimenta um soft fail durante a validação OCSP, mesmo se o administrador desabilitou explicitamente o soft-failing. Consequentemente, a autenticação CLIENT_CERT não falha como esperado, criando comportamentos de autenticação inesperados que poderiam comprometer controles de acesso.
A vulnerabilidade de bypass do EncryptInterceptor (CVE-2026-34486) afeta especificamente estas versões exatas: Apache Tomcat 11.0.20, Apache Tomcat 10.1.53 e Apache Tomcat 9.0.116. As vulnerabilidades mais amplas, incluindo o ataque de oracle de preenchimento inicial e as falhas de validação de certificado, impactam uma gama mais ampla de versões anteriores: Apache Tomcat 11.0.0-M1 até 11.0.20, Apache Tomcat 10.1.0-M1 até 10.1.53 e Apache Tomcat 9.0.13 até 9.0.116.
Medidas de mitigação recomendadas
Para resolver todas as três vulnerabilidades, incluindo o patch defeituoso do EncryptInterceptor e a falha de validação de certificado OCSP, os administradores devem atualizar seus sistemas para as versões seguras mais recentes. A Apache Software Foundation recomenda fortemente a aplicação das seguintes atualizações: Upgrade Apache Tomcat 11.x para versão 11.0.21 ou posterior, Upgrade Apache Tomcat 10.x para versão 10.1.54 ou posterior, Upgrade Apache Tomcat 9.x para versão 9.0.117 ou posterior.
Organizações executando versões mais antigas, End-of-Life (EOL), do Tomcat devem migrar para um ramo suportado imediatamente, pois esses sistemas legados não receberão patches para o ataque de oracle de preenchimento ou falhas subsequentes de bypass. A atualização deve ser priorizada em todos os ambientes de produção onde o Tomcat é utilizado para hospedar aplicações web.
Implicações para governança de segurança
Este incidente destaca a importância de testar rigorosamente patches de segurança antes da implantação. O erro de patching que introduziu uma nova vulnerabilidade enquanto tentava corrigir outra demonstra os riscos de atualizações de segurança complexas. As organizações devem implementar processos de validação de patch que incluam testes de regressão e verificação de segurança para garantir que correções não introduzam novas falhas.
A gestão de vulnerabilidades para servidores de aplicação como o Tomcat deve ser contínua e automatizada. O uso de ferramentas de análise de segurança para identificar versões vulneráveis e monitorar advisories da Apache é essencial para manter a postura de segurança.
Perguntas frequentes
Qual é a gravidade da vulnerabilidade? As vulnerabilidades variam de moderada a crítica, com o bypass do EncryptInterceptor sendo particularmente grave devido ao impacto na criptografia.
É necessário reiniciar o servidor? Após a atualização para a versão corrigida, recomenda-se reiniciar o servidor Tomcat para garantir que as correções de segurança sejam aplicadas corretamente.
Como posso verificar se fui afetado? Verifique a versão instalada do Apache Tomcat. Se estiver rodando uma versão anterior à recomendada, você está vulnerável e deve atualizar imediatamente.