Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor drei Sicherheitslücken in Apache Tomcat und Tomcat Native, die es entfernten Angreifern ermöglichen, Sicherheitsmechanismen zu umgehen und sensible Informationen offenzulegen. Das BSI stuft alle drei als kritisch ein – höher als Apache selbst, was auf die weite Verbreitung der Software zurückzuführen sein dürfte.
Besonders relevant ist CVE-2026-24734: Hier prüft Tomcat Native OCSP-Antworten nicht vollständig. OCSP ist ein Protokoll zur Echtzeit-Überprüfung, ob ein digitales Zertifikat noch gültig ist. Durch die Lücke können widerrufene Zertifikate als gültig durchgehen – ein klassischer Vertrauensbruch in der TLS-Kommunikation. Die anderen beiden Lücken (CVE-2025-66614 und CVE-2026-24733) betreffen ebenfalls alle gängigen Tomcat-Versionen von 8.5 bis 11.
Bin ich betroffen? Wer Apache Tomcat oder Tomcat Native betreibt – direkt oder eingebettet in Anwendungsserver wie Wildfly, JBoss oder ähnliche Java-Umgebungen – sollte die eigene Version prüfen. Betroffen sind Tomcat 8.5 bis 8.5.100, 9.0 bis 9.0.112, 10.1 bis 10.1.51 und 11.0 bis 11.0.17, sowie Tomcat Native bis 2.0.11.
Empfehlung: Sofort auf die gepatchten Versionen 9.0.115 / 10.1.52 / 11.0.18 (für CVE-2026-24734) bzw. 9.0.113 / 10.1.50 / 11.0.15 (für die anderen beiden) aktualisieren. Wer Tomcat als Teil einer größeren Plattform nutzt, sollte beim Hersteller nach einem Update anfragen.
Quelle: BSI-Warnung / computerweekly.de
