Apache Tomcat Native에서 인증 우회 신규 취약점 발견

Apache Tomcat Native, 클라이언트 인증서로 TLS 인증 가능한 인증우회 취약점 발견 Native 1.1.23~1.1.34와 1.2.0~1.2.16 버전 사용자는 최신 버전으로 업데이트해야

[보안뉴스 김경애 기자] Tomcat Native는 Tomcat이 특정 기능을 사용할 수 있도록 추가된 라이브러리로, 사용자가 추가로 설치해 사용이 가능하다. 이러한 가운데 최근 Apache Tomcat Native에서 신규 취약점이 발견됐다.

[이미지=tomcat.apache 사이트]

이번에 발견된 취약점은 Native 라이브러리에서 OCSP 응답에 대한 검증이 미흡해 해지된 클라이언트 인증서로 TLS 인증이 가능한 인증우회 취약점(CVE-2018-8019, CVE-2018-8020)이다.

OCSP는 온라인 인증서 상태 프로토콜(Online Certificate Status Protocol)의 약자로, 실시간으로 인증서를 검증할 수 있는 프로토콜이다.

영향을 받는 제품은 Native 1.1.23~1.1.34 버전과 1.2.0~1.2.16 버전이다. OCSP를 사용하지 않는 시스템은 영향 받지 않는다.

따라서 취약한 버전을 사용 중인 서버의 담당자는 최신 버전으로 1.2.17 버전으로 업데이트 적용하는 것이 바람직하다.

좀더 자세한 사항은 한국인터넷진흥원 인터넷침해대응센터(국번없이 118)에 문의하면 된다.

[참고사이트]
[1] https://tomcat.apache.org/security-native.html
[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8019
[3] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8020
[4] http://tomcat.apache.org/download-native.cgi
[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)