文章总结： ApacheTomcat发布安全更新修复三个漏洞：CVE-2026-29146为EncryptInterceptor填充预言攻击漏洞，允许解密篡改流量；CVE-2026-34486因初始修复缺陷导致加密拦截器被完全绕过；另存在OCSP检查软失败导致客户端证书认证绕过。影响版本包括Tomcat9.0.13-9.0.116、10.1.0-10.1.53、11.0.0-11.0.20，建议立即升级至9.0.117、10.1.54或11.0.21版本。 综合评分： 85 文章分类： 漏洞预警,漏洞分析,应用安全,网络安全,安全运营

Apache Tomcat 漏洞使加密拦截器绕过成为可能

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年4月13日 19:13 北京

在小说阅读器读本章

去阅读

阿帕奇软件基金会已为阿帕奇汤姆猫发布了关键的安全更新，以解决三个新披露的漏洞。

由于 Apache Tomcat 是一款广泛部署的开源网络服务器，这些漏洞给许多企业环境带来了重大风险。

新发现的漏洞可能会让攻击者破坏加密通信、利用有缺陷的补丁以及绕过客户端证书认证。

强烈建议系统管理员查看官方通告，并应用必要的补丁以保障其网络基础设施的安全。

CVE-2026-29146 加密拦截填充甲骨文攻击

安全研究人员乌里·卡茨（Uri Katz）和阿维·卢梅尔斯基（Avi Lumelsky）来自 Oligo Security，他们在 Apache Tomcat 的 EncryptInterceptor 中发现了一个重要的严重漏洞。

默认情况下，此组件使用了密码块链接（CBC）模式，这无意中使服务器暴露于填充预言攻击之下。

简单来说，填充块攻击让恶意行为者能够通过分析服务器对错误填充数据请求的响应，逐步解密被拦截的流量。 这种加密缺陷最终使攻击者能够篡改加密的会话数据。此漏洞影响以下 Apache Tomcat 版本：

Apache Tomcat 11.0.0-M1 至 11.0.18 Apache Tomcat 10.1.0-M1 至 10.1.52 Apache Tomcat 9.0.13 至 9.0.115

CVE-2026-34486 加密拦截器绕过漏洞

尽管开发人员试图修补填充预言漏洞，但他们代码中的一个错误却引入了一个新的、严重的重大问题。

由 striga.ai 的巴特洛梅伊·德米特鲁克（Bartlomiej Dmitruk）发现的这一后续漏洞，使攻击者能够完全绕过 EncryptInterceptor。

由于针对 CVE-2026-29146 的初始安全修复存在缺陷，运行特定补丁版本的系统仍面临流量拦截和篡改的风险。

这凸显了在发现不完整的修复措施时迅速部署二次补丁的重要性。以下版本存在此绕过漏洞：

Apache Tomcat 11.0.20 Apache Tomcat 10.1.53 Apache Tomcat 9.0.116

CVE-2026-34486  “加密拦截器”绕过漏洞

第三个漏洞由早稻田大学的尾山春树发现，其严重程度为中等，涉及数字证书验证。

在线证书状态协议（OCSP）检查旨在验证客户端证书是否已被吊销。 然而，当使用了外部函数与内存 API（FFM）并且明确禁用了软失败功能时，这些检查仍会偶尔出现软失败。

因此，客户端证书身份验证错误地信任了可能无效的证书，未能如预期般阻止未经授权的访问。此身份验证绕过影响以下版本：

Apache Tomcat 11.0.0-M14 至 11.0.20 Apache Tomcat 10.1.22 至 10.1.53 Apache Tomcat 9.0.92 至 9.0.116

为解决这三项漏洞，Apache 软件基金会强烈建议用户立即升级其服务器环境。

系统管理员必须根据其当前的发布分支，升级到 Apache Tomcat 11.0.21 版、10.1.54 版或 9.0.117 版。

实施这些最新的软件版本将确保 EncryptInterceptor 安全运行，并且客户端证书认证能严格按照配置执行。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《Apache Tomcat 漏洞使加密拦截器绕过成为可能》