세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
아파치 톰캣, 원격코드 실행과 정보노출 취약점 발견
  |  입력 : 2017-09-20 17:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
Apache Tomcat에 영향 주는 원격 코드 실행과 정보 노출 취약점 등 패치

[보안뉴스 김경애 기자] 아파치(Apache) 소프트웨어 재단이 아파치 톰캣(Apache Tomcat)에 영향을 주는 원격 코드 실행과 정보 노출 취약점을 해결한 보안 업데이트를 발표했다.

[이미지=Apache Tomcat 사이트 캡처]


이번에 발견된 취약점은 PUT 메소드를 사용해 Windows 서버에 HTTP 요청을 보낼 때 이를 조작하여 jsp 파일을 서버에 업로드할 수 있는 원격 코드 실행 취약점(CVE-2017-12615)과 VirtualDirContext 클래스 사용시 해당 클래스가 제공하는 리소스에 대해 보안 정책을 우회하여 jsp 소스코드를 볼 수 있는 정보 노출 취약점(CVE-2017-12616)이다.

취약점 CVE-2017-12615에 영향을 받는 시스템은 Apache Tomcat 7.0.0 ~ 7.0.79이며, CVE-2017-1216에 영향을 받는 시스템은 Apache Tomcat 7.0.0 ~ 7.0.80이다. 따라서 취약점 버전을 사용 중인 서버 담당자는 최신 버전으로 업데이트해야 한다.

좀더 자세한 사항은 한국인터넷진흥원 인터넷침해대응센터(국번없이 118)로 문의하면 된다.

[참고사이트]
[1] http://tomcat.apache.org/security-7.html
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)