티스토리 뷰
[CVE 취약점] Apache Tomcat 서비스 거부 취약점(CVE-2020-11996)
참조
> http://tomcat.apache.org/security-8.html
> http://tomcat.apache.org/security-9.html
> http://tomcat.apache.org/security-10.html
> https://sarc.io/index.php/tomcat/2051-tomcat-apache-tomcat-http-2-cve-2020-11996
개요
Apache 소프트웨어 재단은 Apache Tomcat에서 발생하는 서비스 거부 취약점을 해결한 보안 업데이트 발표
취약점 버전을 사용 중인 이용자는 해결 방안에 따라 최신 버전으로 업데이트 권고
Tomcat에서 조작된 HTTP/2 요청 메시지를 수신받는 경우 메시지 처리가 미흡하여 발생하는 서비스거부 취약점(CVE-2020-11996)
해당 취약점은 Tomcat의 Http2UpgradeHandler의 Exception 처리하는 반복문(for)을 악용한 방법
HTTP2 취약점 Upgrade 소스 수정 내용.(Fix BZ 64467. Improve performance of closing idle streams)
https://github.com/apache/tomcat/commit/9434a44d3449d620b1be70206819f8275b4a7509
영향 받는 제품 버전
Apache Tomcat
- 8.5.0 ~ 8.5.55
- 9.0.0.M1 ~ 9.0.35
- 10.0.0-M1 ~ 10.0.0-M6
방안
각 버전에 해당되는 페이지를 참고하여 최신 버전으로 업데이트 적용
- 8.5.56 이상 버전
- 9.0.36 이상 버전
- 10.0.0-M6 이상 버전
(위 참조 사이트 확인)
'CVE 취약점' 카테고리의 다른 글
| [CVE 취약점] F5사 BIG-IP 제품군의 원격코드실행 취약점(CVE-2020-5902) (0) | 2020.11.02 |
|---|---|
| [CVE 취약점] Apache Tomcat AJP 원격코드 실행 취약점(CVE-2020-1938) (0) | 2020.11.02 |
| [CVE 취약점] Apache Tomecat RCE 취약점(CVE-2020-9484) (0) | 2020.11.01 |
| [CVE 취약점] Django 제품 SQL Injection 취약점(CVE-2020-9402) (0) | 2020.11.01 |
| [CVE 취약점] MS SMBv3 프로토콜 취약점(CVE-2020-0796) (0) | 2020.11.01 |
- Total
- Today