본문 바로가기

Home > 열린마당 > 공개SW 소식

공개SW 소식

아파치 톰캣에서 발견된 심각한 취약점...정보유출 주의

OSS 게시글 작성 시각 2018-08-01 18:21:26 게시글 조회수 4237

2018년 7월 25일 

 

ⓒ 데일리시큐

 

 

아파치 톰캣재단이 DoS 공격을 유발하거나 정보 유출로 이어질 수 있는 버그를 포함해 여러 취약점을 해결하는 톰캣 애플리케이션 서버에 대한 보안 업데이트를 발표했다.

 

아파치 톰캣은 자바 서블릿,JSP(Java Server Pages), Java EL, 웹 소캣을 포함한 여러 Java EE 사양들을 구현하는 자바 서블릿 컨테이너로, 순수 자바 HTTP 웹 서버 환경을 제공한다. 톰캣의 시장 점유율은 60%에 달한다.

발견된 첫번째 결함은 CVE-2018-8037로, 종료된 연결을 추적해 새로운 연결에서 사용자 세션을 재사용할 수 있는 중요한 버그이다. 이 버그는 톰캣 버전 9.0.0.M9와 8.5.5부터 8.5.31까지 영향을 준다. 버전 9.0.10과 8.5.32에서는 취약점이 패치된 상태이다.

두번째 결함은 CVE-2018-1336이다. UTF-8 디코더에서의 부적절한 오버플로우 처리로 인해, 무한 루프로 이어져 분산 서비스 거부 공격이 발생할 수 있다. 이 취약점은 톰캣 버전 7.0.x, 8.0.x, 8.5.x, 9.0.x에 영향을 주고, 버전 9.0.7, 8.5.32, 8.0.52, 7.0.90에서는 패치됐다.

(이후 생략)

 

[원본기사 보기 : http://www.dailysecu.com/?mod=news&act=articleView&idxno=36972]

맨 위로
맨 위로