포스팅 내용

국내외 보안동향

Apache Tomcat, 원격 코드 실행 취약점 패치

Apache Tomcat Patches Important Remote Code Execution Flaw


ASF(Apache Software Foundation) 측이 Tomcat 어플리케이션 서버의 중요한 보안 취약점을 수정하고 새로운 버전을 공개했습니다. 


<이미지 출처: http://tomcat.apache.org/>


원격의 공격자가 이 취약점을 악용하면 취약한 서버에서 악성코드를 실행하고 제어권을 얻을 수 있습니다.


ASF가 개발한 Apache Tomcat은 "순수한 Java" HTTP 웹 서버 환경을 제공하기 위해 Java Servlet, JavaServer Pages (JSP), Express Language, 웹 소켓과 같은 Java EE 플랫폼을 사용하는 오픈 소스 웹 서버 및 서블릿 시스템입니다.


원격 코드 실행 취약점(CVE-2019-0232)은 enableCmdLineArguments가 활성화된 상태에서 윈도우에서 실행될 때 발생합니다.


이는 CGI(Common Gateway Interface) 서블릿에서, JRE(Java Runtime Environment)가 명령 인수를 전달하는 방식에 존재하는 버그입니다.


현재 Tomcat 9.0.x에서 CGI 서블릿은 디폴트로 비활성화된 상태입니다.


enableCmdLineArguments 옵션 또한 디폴트로 비활성화되어 있기 때문에 이 원격코드 실행 취약점은 '중요함'으로 분류되었습니다.


해당 취약점 대응을 위해, Apache Tomcat의 모든 버전에서 CGI 서블릿 enableCmdLineArguments 옵션은 디폴트로 비활성화될 예정입니다.


원격 코드 실행 취약점(CVE-2019-0232)에 영향받는 Tomcat 버전과 영향받지 않는 버전은 다음과 같습니다.


취약한 Tomcat 버전

- Apache Tomcat 9.0.0.M1 - 9.0.17

- Apache Tomcat 8.5.0 - 8.5.39

- Apache Tomcat 7.0.0 - 7.0.93


취약하지 않은 Tomcat 버전

- Apache Tomcat 9.0.18 및 이후 버전

- Apache Tomcat 8.5.40 및 이후 버전

- Apache Tomcat 7.0.94 및 이후 버전


※ Apache Tomcat 최신 버전 다운로드하러 가기


Tomcat 9: https://tomcat.apache.org/download-90.cgi

Tomcat 8: https://tomcat.apache.org/download-80.cgi

Tomcat 7: https://tomcat.apache.org/download-70.cgi


이 취약점을 공격자가 악용할 경우 취약한 Apache Tomcat 버전을 사용하는 타깃 윈도우 서버에서 임의 명령을 실행해 해당 서버를 완전히 손상시킬 수 있습니다.


이 취약점은 2019년 3월 3일 Apache Tomcat의 보안팀에 제보 되었으며, ASF가 업데이트 버전을 공개한 후 2019년 4월 10일에 공개되었습니다.


이 Apache 취약점은 Tomcat 버전 9.0.19, 8.5.40, 7.0.93이 공개됨에 따라 수정되었습니다.


따라서 관리자들은 소프트웨어 업데이트를 가능한 한 빨리 적용할 것을 권장드립니다.


지금 당장 패치를 적용할 수 없는 경우, CGI 서블릿 초기화 파라미터의 enableCmdLineArguments 디폴트 값을 false로 설정해 주시기 바랍니다.



출처:

https://thehackernews.com/2019/04/apache-tomcat-security-flaw.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0232

https://nvd.nist.gov/vuln/detail/CVE-2019-0232

https://codewhitesec.blogspot.com/2016/02/java-and-command-line-injections-in-windows.html

티스토리 방명록 작성
name password homepage