🚨 Apache Commons FileUpload 취약점

Apache Commons FileUpload 에서 서비스 거부 취약점 이 발견되었습니다. 해당 취약점은 Apache Commons FileUpload에서 request part에 대해 제한을 두지 않아 발생하는 취약점으로, 공격자는 해당 취약점을 악용하여 서비스 거부 를 발생시킬 수 있습니다.
1.5 이전의 Apache Commons FileUpload는 처리할 요청 부분의 수를 제한하지 않아 공격자가 악의적인 업로드 또는 일련의 업로드로 DoS공격을 유발할 수 있습니다. 모든 파일 업로드 제한과 마찬가지로 새 구성 옵션(FileUploadBase#setFileCountMax)은 기본적으로 활성화되어 있지 않으며 명시적으로 설정해야 합니다.

주요내용

🚨 Apache Commons FileUpload에서 발생하는 서비스 거부 취약점[1]🚨 공격자는 해당 취약점을 악용하여 피해를 발생시킬 수 있으므로,해당 제품을 사용하는 이용자들은 해결 버전으로 업데이트 권고

💊취약점 대응방안

• Apache Tomcat 11.0.0-M3 이상 버전 업데이트
• Apache Tomcat 10.1.5 이상 버전 업데이트
• Apache Tomcat 9.0.71 이상 버전 업데이트
• Apache Tomcat 8.5.85 이상 버전 업데이트
• Apache Commons FileUpload 1.5 이상 버전 업데이트

🖥️ 아코디언 제품 대응현황

아코디언 버전별 구성 요소

아코디언 팀에서는 이번 취약점의 빠르게 인지하여 긴급하게 Tomcat 버전의 업데이트를 진행하였으며 취약점을 해결한 Tomcat 버전 제공과 아코디언 버전별 반영은 담당 엔지니어를 통해 진행됩니다.

⌨️ 아코디언 버전별 대응조치

아코디언v2

취약점이 해결된 버전의 Apache Tomcat 최신 업데이트 버전의 컨테이너 이미지를 제공하여 Tomcat 카탈로그 테스크템플릿을 업데이트 합니다.

컨테이너 이미지

podman images | grep tomcat
registry.accordions.co.kr/tomcat 9.0.71-jdk11 d2d904b10dd1 3 days ago 603 MB
registry.accordions.co.kr/tomcat 9.0.71-jdk8 5fd19c3c69c8 3 days ago 420 MB
registry.accordions.co.kr/tomcat 8.5.85-jdk11 d4818e6c282f 3 days ago 601 MB
registry.accordions.co.kr/tomcat 8.5.85-jdk8 a6b40c43d36c 3 days ago 417 MB

tomcat 카탈로그 파이프라인 적용

아코디언 v1

취약점이 해결된 버전의 Apache Tomcat 최신 업데이트 버전의 컨테이너 이미지를 제공하여 템플릿 을 업데이트합니다. 또한 commons-fileupload 라이브러리를 사용하는 아코디언 모듈엔진의 패치를 제공 합니다.

🔗참고 자료

📧 이메일 문의

om@mantech.co.kr