ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • Apache 제품 보안 업데이트 권고
      Vulnerability 2024. 4. 24. 13:40
      반응형

      1. 개요

      • Apache 소프트웨어 재단은 다양한 소프트웨어에서 발견된 취약점을 해결하는 보안 업데이트를 발표하였습니다.
      • 특히 Apache Tomcat에서 발생하는 여러 가지 취약점이 포함되어 있으며, 해당 취약점에 대해 수정된 버전으로 업데이트할 것을 권장합니다.

      2. 취약성 정보 및 영향

      2.1 서비스 거부(DoS) 취약점

      • CVE-2024-24549, CVE-2024-23672, CVE-2023-42794, CVE-2023-28709, CVE-2023-24998: 이들 취약점은 특정 조건에서 Apache Tomcat이 서비스 거부 상태로 이어질 수 있게 만듭니다. 공격자는 이 취약점을 이용하여 서버의 정상적인 작동을 방해할 수 있습니다.

      2.2 정보 노출 취약점

      • CVE-2024-21733, CVE-2023-42795: 이 취약점들은 Apache Tomcat에서 민감한 정보가 노출될 가능성이 있습니다. 이로 인해 외부의 불법적인 접근자에 의해 중요 정보가 유출될 수 있습니다.

      2.3 입력 값 검증 실패 취약점

      • CVE-2023-46589, CVE-2023-45648: 부적절한 입력 값 검증으로 인해 공격자가 시스템을 조작하거나 예기치 않은 동작을 유발할 수 있습니다.

      2.4 취약한 암호화 통신

      • CVE-2023-28708: 암호화 통신 과정에서 취약점이 발견되어, 데이터 전송 중 정보가 노출될 수 있는 위험이 있습니다.

      3. 영향받는 제품 및 해결 방안

      제품명 취약점 영향받는 버전 해결 버전
      Apache Tomcat
      		 CVE-2024-24549
      11.0.0-M1 부터(포함) ~ 11.0.0-M16 까지(포함)
      10.1.0-M1 부터(포함) ~ 10.1.18 까지(포함)
      9.0.0-M1 부터(포함) ~ 9.0.85 까지(포함)
      8.5.0 부터(포함) ~ 8.5.98 까지(포함)
      11.0.0-M17 이상
      10.1.19 이상
      9.0.86 이상
      8.5.99 이상
      CVE-2024-23672
      CVE-2024-21733 9.0.0-M11 부터(포함) ~ 9.0.43 까지(포함)
      8.5.7 부터(포함) ~ 8.5.63 까지(포함)      		 9.0.44 이상
      8.5.64 이상
      CVE-2023-46589 11.0.0-M1 부터(포함) ~ 11.0.0-M10 까지(포함)
      10.1.0-M1 부터(포함) ~ 10.1.15 까지(포함)
      9.0.0-M1 부터(포함) ~ 9.0.82 까지(포함)
      8.5.0 부터(포함) ~ 8.5.95 까지(포함)      		 11.0.0-M11 이상
      10.1.16 이상
      9.0.83 이상
      8.5.96 이상
      CVE-2023-45648 11.0.0-M1 부터(포함) ~ 11.0.0-M11 까지(포함)
      10.1.0-M1 부터(포함) ~ 10.1.13 까지(포함)
      9.0.0-M1 부터(포함) ~ 9.0.80 까지(포함)
      8.5.0 부터(포함) ~ 8.5.93 까지(포함)      		 11.0.0-M12 이상
      10.1.14 이상
      9.0.81 이상
      8.5.94 이상
      CVE-2023-42795 11.0.0-M1 부터(포함) ~ 11.0.0-M11 까지(포함)
      10.1.0-M1 부터(포함) ~ 10.1.13 까지(포함)
      9.0.0-M1 부터(포함) ~ 9.0.80 까지(포함)
      8.5.0 부터(포함) ~ 8.5.93 까지(포함)      		 11.0.0-M12 이상
      10.1.14 이상
      9.0.81 이상
      8.5.94 이상
      CVE-2023-42794 9.0.70 부터(포함) ~ 9.0.80 까지(포함)
      8.5.85 부터(포함) ~ 8.5.93 까지(포함)      		 9.0.81 이상
      8.5.94 이상
      CVE-2023-28709 11.0.0-M2 부터(포함) ~ 11.0.0-M4 까지(포함)
      10.1.5 부터(포함) ~ 10.1.7 까지(포함)
      9.0.71 부터(포함) ~ 9.0.73 까지(포함)
      8.5.85 부터(포함) ~ 8.5.87 까지(포함)      		 11.0.0-M5 이상
      10.1.8 이상
      9.0.74 이상
      8.5.88 이상
      CVE-2023-24998 11.0.0-M1
      10.1.0-M1 부터(포함) ~ 10.1.4 까지(포함)
      9.0.0-M1 부터(포함) ~ 9.0.70 까지(포함)
      8.5.0 부터(포함) ~ 8.5.84 까지(포함)      		 11.0.0-M3 이상
      10.1.5 이상
      9.0.71 이상
      8.5.85 이상
      CVE-2023-28708 11.0.0-M1 부터(포함) ~ 11.0.0-M2 까지(포함)
      10.1.0-M1 부터(포함) ~ 10.1.5 까지(포함)
      9.0.0-M1 부터(포함) ~ 9.0.71 까지(포함)
      8.5.0 부터(포함) ~ 8.5.85 까지(포함)      		 11.0.0-M3 이상
      10.1.6 이상
      9.0.72 이상
      8.5.86 이상

       

      참고사이트

       

       

      KISA 보호나라&KrCERT/CC

      KISA 보호나라&KrCERT/CC

      www.boho.or.kr

       

      반응형
      저작자표시 비영리 변경금지

      'Vulnerability' 카테고리의 다른 글

      Cisco 제품의 보안 업데이트 권고  (0) 2024.04.24
      TP-Link 제품 보안 업데이트 권고  (0) 2024.04.24
      [KISA 보안공지] OfficeKeeper 제품 보안 조치 권고  (0) 2024.04.22
      [KISA 보안공지] 청년대상 금융상품 피싱 주의  (0) 2024.04.22
      [KISA 보안공지] Palo Alto Networks 제품 보안 업데이트 권고  (0) 2024.04.16

      관련글 관련글 더보기

      댓글

    Designed by Tistory.

    티스토리툴바