티스토리 뷰

728x90
반응형

[CVE 취약점] Apache Tomcat 서비스 거부 취약점(CVE-2020-11996)


참조

http://mail-archives.us.apache.org/mod_mbox/www-announce/202006.mbox/%3Cfd56bc1d-1219-605b-99c7-946bf7bd8ad4%40apache.org%3E

http://tomcat.apache.org/security-8.html

http://tomcat.apache.org/security-9.html

http://tomcat.apache.org/security-10.html

https://sarc.io/index.php/tomcat/2051-tomcat-apache-tomcat-http-2-cve-2020-11996


개요

Apache 소프트웨어 재단은 Apache Tomcat에서 발생하는 서비스 거부 취약점을 해결한 보안 업데이트 발표

취약점 버전을 사용 중인 이용자는 해결 방안에 따라 최신 버전으로 업데이트 권고


Tomcat에서 조작된 HTTP/2 요청 메시지를 수신받는 경우 메시지 처리가 미흡하여 발생하는 서비스거부 취약점(CVE-2020-11996)

해당 취약점은 Tomcat의 Http2UpgradeHandler의 Exception 처리하는 반복문(for)을 악용한 방법

HTTP2 취약점 Upgrade 소스 수정 내용.(Fix BZ 64467. Improve performance of closing idle streams)

https://github.com/apache/tomcat/commit/9434a44d3449d620b1be70206819f8275b4a7509


영향 받는 제품 버전

Apache Tomcat

- 8.5.0 ~ 8.5.55

- 9.0.0.M1 ~ 9.0.35

- 10.0.0-M1 ~ 10.0.0-M6


방안

각 버전에 해당되는 페이지를 참고하여 최신 버전으로 업데이트 적용 

- 8.5.56 이상 버전

- 9.0.36 이상 버전

- 10.0.0-M6 이상 버전

(위 참조 사이트 확인)

728x90
반응형
댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
250x250