아파치 톰캣은 자바 서블릿,JSP(Java Server Pages), Java EL, 웹 소캣을 포함한 여러 Java EE 사양들을 구현하는 자바 서블릿 컨테이너로, 순수 자바 HTTP 웹 서버 환경을 제공한다. 톰캣의 시장 점유율은 60%에 달한다.
발견된 첫번째 결함은 CVE-2018-8037로, 종료된 연결을 추적해 새로운 연결에서 사용자 세션을 재사용할 수 있는 중요한 버그이다. 이 버그는 톰캣 버전 9.0.0.M9와 8.5.5부터 8.5.31까지 영향을 준다. 버전 9.0.10과 8.5.32에서는 취약점이 패치된 상태이다.
두번째 결함은 CVE-2018-1336이다. UTF-8 디코더에서의 부적절한 오버플로우 처리로 인해, 무한 루프로 이어져 분산 서비스 거부 공격이 발생할 수 있다. 이 취약점은 톰캣 버전 7.0.x, 8.0.x, 8.5.x, 9.0.x에 영향을 주고, 버전 9.0.7, 8.5.32, 8.0.52, 7.0.90에서는 패치됐다.
또한 재단은 CVE-2018-8034로 추적되는, 낮은 등급의 취약점도 수정했다. 보안 권고문에 따르면 이 결함은 웹 소캣 클라이언트에서 TLS를 사용할 때 호스트 이름을 확인하는 과정이 누락됐던 문제로, 현재는 호스트 이름 확인이 기본적으로 활성화되어 있다.
US-CERT는 사용자들에게 “아파치 톰캣 버전 9.0.0.M9부터 9.0.9, 8.5.0부터 8.5.31, 8.0.0.RC1부터 8.0.51, 그리고 7.0.28부터 7.0.86까지 존재하는 취약점들을 해결하기 위해 보안 업데이트가 발표됐다. 원격 공격자가 취약점 중 하나를 익스플로잇해 민감한 정보를 유출시킬 수 있으므로 주의해야 한다”고 경고했다.
또한 사용자들이 CVE-2018-8037과 CVE-2018-1336에 대한 아파치 재단의 보안 권고를 검토하고 필요한 업데이트를 적용할 것을 권장하고 있다. 아파치 톰캣 취약점들은 in-the-wild에서 악용될 가능성이 높다.
★정보보안 대표 미디어 데일리시큐!★
