Apache Tomcat 安全漏洞：OCSP 响应验证缺失，可绕过证书吊销检查 (CVE-2026-24734)

Apache Tomcat 及其原生库 Tomcat Native 中发现一个高危安全漏洞，攻击者可利用此漏洞绕过证书吊销检查。该漏洞被标记为 CVE-2026-24734，CVSS v3.1 评分为 7.5（高危），核心问题在于对在线证书状态协议（OCSP）响应的验证存在缺陷。当配置使用 OCSP 响应器时，相关组件未能完成对 OCSP 响应的验证或新鲜度检查，导致即使证书已被吊销，系统仍可能错误地将其视为有效。

此漏洞影响范围广泛。Apache Tomcat Native 的受影响版本包括 1.3.0 至 1.3.4，以及 2.0.0 至 2.0.11。Apache Tomcat 本身也受到影响，版本涵盖 11.0.0-M1 至 11.0.17，10.1.0-M7 至 10.1.51，以及 9.0.0 系列的部分早期版本。漏洞的根本原因被归类为 CWE-20：输入验证不恰当。这意味着依赖这些版本 Tomcat 组件处理客户端证书认证或建立 TLS/SSL 连接的应用和服务面临潜在风险。

该漏洞对依赖证书吊销机制来确保通信安全性的系统构成直接威胁。在金融、企业内网或需要强身份验证的 Web 服务等场景中，攻击者可能利用已吊销但未被系统正确识别的证书进行中间人攻击或伪装成合法实体。虽然漏洞本身不直接导致信息泄露（C:N），但其对数据完整性（I:H）的影响显著。管理员需尽快核查其 Tomcat 部署版本，并关注 Apache 官方发布的安全更新以进行修补。