HAMMER bei Apache Tomcat! Wer einen Java-Webserver fährt, sollte heute alles stehen und liegen lassen: Die Apache Software Foundation hat am 9. April 2026 gleich zehn Sicherheitslücken im populären Servlet-Container Tomcat offengelegt – verteilt über die Versionen 9, 10 und 11. Mindestens drei davon sind kritisch, der Rest hoch eingestuft.
SCHOCK: HTTP-Smuggling im Standard-Setup!
Die brisanteste Lücke ist eine HTTP/1.1 Chunk-Extension Request-Smuggling-Schwachstelle. Tomcat hat den Inhalt von Chunk-Extensions schlicht nicht validiert. Wenn du einen Reverse-Proxy davorhängst – nginx, HAProxy, ein Application Gateway – und der Proxy CRLF-Sequenzen in einer ansonsten gültigen Chunk-Extension durchlässt, hast du die Tür sperrangelweit offen.
Übersetzt: Ein Angreifer schickt EINE Anfrage, der Proxy sieht eine Anfrage, Tomcat sieht aber zwei verschiedene Anfragen. Die zweite versteckte Anfrage kann an Sicherheitsfilter vorbei – Authentifizierung umgangen, fremde Sessions geklaut, Admin-Endpoints aufgerufen. Klassisches Smuggling, aber jetzt gegen Tomcat 9.0.0.M1 bis 9.0.115, also praktisch gegen ALLES, was vor April 2026 lief.
HAMMER #2: EncryptInterceptor mit Padding-Oracle!
Die Lücke CVE-2026-29146 trifft den EncryptInterceptor. Der wird im Cluster-Betrieb genutzt, um Tomcat-Knoten gegenseitig zu verschlüsseln. Default-Modus war bisher CBC – und CBC ist anfällig für ein Padding-Oracle. Heißt: Ein Angreifer kann verschlüsselten Cluster-Traffic blockweise entschlüsseln, ohne den Schlüssel zu kennen. Brutal, weil so dein internes Cluster-Geheimnis gegen dich arbeitet.
EXTRA-PROBLEM: Der Patch hatte einen Patch!
Apache hat erst 9.0.116 rausgehauen, um CVE-2026-29146 zu schließen. Nur: Der Fix war fehlerhaft. Genau das ist die nächste Lücke CVE-2026-34486 – der EncryptInterceptor lässt sich auch in 9.0.116 wieder umgehen. Erst die nächste Version 9.0.117 macht den Sack zu. Wenn du also schon vor zwei Wochen gepatcht hast, musst du noch mal ran.
UNGLAUBLICH: SNI-Bypass durch Groß-/Kleinschreibung
Lücke Nummer drei: CVE-2026-32990. Tomcat hat bei der Validierung von SNI-Namen und Hostnamen nicht zwischen Groß- und Kleinschreibung unterschieden. Wer also einen strikten SNI-Check als Schutzmechanismus eingebaut hat (zum Beispiel EXAMPLE.COM blocken), kann mit Example.com oder example.COM trotzdem durchrutschen. Klassischer Klein-Fehler mit großer Wirkung.
So patchst du in 10 MINUTEN!
Apache hat alle Versionen sauber repariert. Hier die Update-Pflicht-Liste:
- Tomcat 9.x → auf 9.0.117 updaten
- Tomcat 10.x → auf 10.1.45 updaten
- Tomcat 11.x → auf 11.0.13 updaten
Bei Standalone-Installationen reicht es, die tomcat-Verzeichnisse zu tauschen und den Service neu zu starten. Wer Tomcat im Container fährt, sollte das offizielle tomcat:9.0.117-jre17-Image ziehen und durchrollen. Achte auf Sticky-Sessions – die Smuggling-Lücke ist mit Sticky besonders unangenehm.
SO findest du verseuchte Server
- Tomcat-Manager-App öffnen, unter Server Status die Version checken.
- Logs auf chunked transfer-encoding Hits filtern – Hinweis auf Smuggling-Versuche.
- Cluster-Logs auf EncryptInterceptor-Warnungen durchsuchen.
- SSL-/SNI-Konfiguration in server.xml prüfen, falls strikte Hostname-Filter aktiv sind.
EXTRA-TIPP: Adobe ColdFusion ist auch betroffen!
Adobe verwendet im ColdFusion-Bundle die Version Tomcat 9.0.111 – ergo: Wer nur ColdFusion patcht, ist auf der sicheren Seite, aber wer den Tomcat-Bundled-Server „nebenbei“ nutzt, sollte den ColdFusion-April-Patch zwingend einspielen. Sonst hast du den hauseigenen Tomcat als tickende Zeitbombe im System.
FAZIT: Java-Stack JETZT durchpatchen!
Zehn CVEs sind kein Spaß. Tomcat steckt in jedem zweiten Java-Web-Stack – ob als Standalone, als Spring-Boot-Embedded-Server oder als Bestandteil von Confluence, JIRA, Atlassian-Bamboo, Adobe-Produkten, alten Liferay-Installationen … die Liste ist endlos. Pflicht-Programm: Patches einspielen, SSL-/Reverse-Proxy-Configs prüfen, Logs auf Smuggling-Hinweise durchsuchen. Wer wartet, wird gehackt – so einfach ist das!
EXTRA-Bonus: Smuggling auch ohne Reverse-Proxy?
Manche Admins denken: „Ich habe keinen Reverse-Proxy davor, mich trifft das nicht.“ Falsch. Wenn dein Tomcat hinter einem Load Balancer, einer Firewall mit HTTP-Inspection oder einem CDN hängt, gilt das Risiko genauso. Auch viele Cloud-Provider (AWS ALB, GCP HTTPS Load Balancer, Azure App Gateway) sind streng bei Chunk-Extensions, aber nicht alle Setups sind Default-sicher. Lieber einmal patchen, als nachher die Logs vor dem Compliance-Officer erklären müssen. Apache empfiehlt zusätzlich, die HTTP-Connector-Optionen in server.xml zu härten und unnötige Methoden wie TRACE explizit zu deaktivieren.