Apache Tomcat, 원격 코드 실행 취약점 패치

Apache Tomcat Patches Important Remote Code Execution Flaw

ASF(Apache Software Foundation) 측이 Tomcat 어플리케이션 서버의 중요한 보안 취약점을 수정하고 새로운 버전을 공개했습니다. 

<이미지 출처: http://tomcat.apache.org/>

원격의 공격자가 이 취약점을 악용하면 취약한 서버에서 악성코드를 실행하고 제어권을 얻을 수 있습니다.

ASF가 개발한 Apache Tomcat은 "순수한 Java" HTTP 웹 서버 환경을 제공하기 위해 Java Servlet, JavaServer Pages (JSP), Express Language, 웹 소켓과 같은 Java EE 플랫폼을 사용하는 오픈 소스 웹 서버 및 서블릿 시스템입니다.

원격 코드 실행 취약점(CVE-2019-0232)은 enableCmdLineArguments가 활성화된 상태에서 윈도우에서 실행될 때 발생합니다.

이는 CGI(Common Gateway Interface) 서블릿에서, JRE(Java Runtime Environment)가 명령 인수를 전달하는 방식에 존재하는 버그입니다.

현재 Tomcat 9.0.x에서 CGI 서블릿은 디폴트로 비활성화된 상태입니다.

enableCmdLineArguments 옵션 또한 디폴트로 비활성화되어 있기 때문에 이 원격코드 실행 취약점은 '중요함'으로 분류되었습니다.

해당 취약점 대응을 위해, Apache Tomcat의 모든 버전에서 CGI 서블릿 enableCmdLineArguments 옵션은 디폴트로 비활성화될 예정입니다.

원격 코드 실행 취약점(CVE-2019-0232)에 영향받는 Tomcat 버전과 영향받지 않는 버전은 다음과 같습니다.

취약한 Tomcat 버전

- Apache Tomcat 9.0.0.M1 - 9.0.17

- Apache Tomcat 8.5.0 - 8.5.39

- Apache Tomcat 7.0.0 - 7.0.93

취약하지 않은 Tomcat 버전

- Apache Tomcat 9.0.18 및 이후 버전

- Apache Tomcat 8.5.40 및 이후 버전

- Apache Tomcat 7.0.94 및 이후 버전

※ Apache Tomcat 최신 버전 다운로드하러 가기

Tomcat 9: https://tomcat.apache.org/download-90.cgi

Tomcat 8: https://tomcat.apache.org/download-80.cgi

Tomcat 7: https://tomcat.apache.org/download-70.cgi

이 취약점을 공격자가 악용할 경우 취약한 Apache Tomcat 버전을 사용하는 타깃 윈도우 서버에서 임의 명령을 실행해 해당 서버를 완전히 손상시킬 수 있습니다.

이 취약점은 2019년 3월 3일 Apache Tomcat의 보안팀에 제보 되었으며, ASF가 업데이트 버전을 공개한 후 2019년 4월 10일에 공개되었습니다.

이 Apache 취약점은 Tomcat 버전 9.0.19, 8.5.40, 7.0.93이 공개됨에 따라 수정되었습니다.

따라서 관리자들은 소프트웨어 업데이트를 가능한 한 빨리 적용할 것을 권장드립니다.

지금 당장 패치를 적용할 수 없는 경우, CGI 서블릿 초기화 파라미터의 enableCmdLineArguments 디폴트 값을 false로 설정해 주시기 바랍니다.

출처:

https://thehackernews.com/2019/04/apache-tomcat-security-flaw.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0232

https://nvd.nist.gov/vuln/detail/CVE-2019-0232

https://codewhitesec.blogspot.com/2016/02/java-and-command-line-injections-in-windows.html