|
□ 개요
o 아파치 소프트웨어 재단은 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트 발표 [1][2][3]
o 영향받는 버전을 사용 중인 사용자는 해결 방안에 따라 최신 버전으로 업데이트 권고
□ 설명
o Apache Traffic Control에서 발생하는 SQL Injection 취약점(CVE-2024-45387) [4]
o Apache Tomcat에서 발생하는 원격 코드 실행 취약점(CVE-2024-56337) [5]
o Apache MINA에서 발생하는 Code Injection 취약점(CVE-2024-52046) [6]
□ 영향받는 제품 및 해결 방안
|
취약점 |
제품명 |
영향받는 버전 |
해결 버전 |
|
CVE-2024-45387 |
Apache Traffic Control |
8.0.0 이상 ~ 8.0.1 이하 |
8.0.2 |
|
CVE-2024-56337 |
Apache Tomcat |
11.0.0-M1 이상 ~ 11.0.1 이하 |
11.0.2 이상 |
|
10.1.0-M1 이상 ~ 10.1.33 이하 |
10.1.34 이상 |
|
9.0.0.M1 이상 ~ 9.0.97 이하 |
9.0.98 이상 |
|
CVE-2024-52046
|
Apache MINA
|
2.0 이상 ~ 2.0.26 unknown 이하 |
2.0.27 |
|
2.1 이상 ~ 2.1.9 이하 |
2.1.10 |
|
2.2 이상 ~ 2.2.3 이하 |
2.2.4 |
※ 하단의 참고사이트를 확인하여 업데이트 수행 [7][8][9][10][11]
※ CVE-2024-56337의 Java 버전에 따른 완화 방안 [2]
- Java 8, Java 11, Java 17: 시스템 속성인 sun.io.useCanonCaches를 명시적으로 false로 설정
- Java 21 이상 : 추가 구성 불필요
□ 참고사이트
[1] https://lists.apache.org/thread/t38nk5n7t8w3pb66z7z4pqfzt4443trr
[2] https://lists.apache.org/thread/b2b9qrgjrz1kvo4ym8y2wkfdvwoq6qbp
[3] https://lists.apache.org/thread/4wxktgjpggdbto15d515wdctohb0qmv8
[4] https://nvd.nist.gov/vuln/detail/CVE-2024-45387
[5] https://nvd.nist.gov/vuln/detail/CVE-2024-56337
[6] https://nvd.nist.gov/vuln/detail/CVE-2024-52046
[7] https://trafficcontrol.apache.org/releases/
[8] https://tomcat.apache.org/security-11.html
[9] https://tomcat.apache.org/security-10.html
[10] https://tomcat.apache.org/security-9.html
[11] https://mina.apache.org/
□ 문의사항
o 한국인터넷진흥원 사이버민원센터: 국번없이 118
□ 작성: 위협분석단 취약점분석팀 |
로그인
보안공지