Blog
Apache Tomcat 취약점에 따른 아코디언 패치

Apache Tomcat 취약점에 따른 아코디언 패치

  • NEWS

🚨 Apache tomcat 취약점 발생

 

Tomcat Home

 

Apache Software Foundation 은 Apache Tomcat 에서 발생하는 취약점을 해결한 보안 업데이트를 발표했습니다. 영향받는 버전은 해결을 위해 최신 버전으로 업데이트 권고하고 있습니다.

 

영향을 받는 버전: 

  • – Apache Tomcat 11.0.0-M1~11.0.0-M16
  • – Apache Tomcat 10.1.0-M1~10.1.18
  • – Apache Tomcat 9.0.0-M1 ~ 9.0.85
  • – Apache Tomcat 8.5.0~8.5.98

 

 

 

주요내용

HTTP/2 CONTINUATION Flood(CVE-2024-24549), HTTP/2 프로토콜의 CONTINUATION 프레임이 서비스 거부(DoS) 공격을 수행하는 데 악용될 수 있는 것으로 나타났습니다. Rapid Reset 공격보다 심각한 위협을 가하는 HTTP/2 프로토콜 구현 내의 취약점 클래스입니다.

 

HTTP/2 취약점

(https://nowotarski.info/http2-continuation-flood-technical-details/)

 

🚨  심각성 : 중요

  • – HTTP/2 header handling DoS(CVE-2024-24549)
  • – WebSocket DoS with incomplete closing handshake(CVE-2024-23672)
  • – HTTP request smuggling via malformed trailer headers(CVE-2023-46589)
  • – incorrectly parsed http trailer headers can cause request smuggling(CVE-2023-45648)
  • – improper cleaning of recycled objects could lead to information leak(CVE-2023-42795)
  • – Apache Commons FileUpload: FileUpload DoS with excessive parts(CVE-2023-24998)
  • – not including the secure attribute causes information disclosure(CVE-2023-28708) 

 

🚨  심각성 : 보통

  • – Fix for CVE-2023-24998 was incomplete(CVE-2023-28709

 

🚨  심각성 : 낮음

  • FileUpload: DoS due to accumulation of temporary files on Windows(CVE-2023-42794

 

 

💊취약점 대응방안

제품명 취약점

영향받는 버전

해결 버전
     Apache Tomcat

CVE-2024-24549

11.0.0-M1 부터(포함) ~ 11.0.0-M16 까지(포함)

10.1.0-M1 부터(포함) ~ 10.1.18 까지(포함)

9.0.0-M1 부터(포함) ~ 9.0.85 까지(포함)

8.5.0 부터(포함) ~ 8.5.98 까지(포함)

11.0.0-M17 이상

10.1.19 이상

9.0.86 이상

8.5.99 이상

CVE-2024-23672

CVE-2024-21733

9.0.0-M11 부터(포함) ~ 9.0.43 까지(포함)

8.5.7 부터(포함) ~ 8.5.63 까지(포함)

9.0.44 이상

8.5.64 이상

CVE-2023-46589

11.0.0-M1 부터(포함) ~ 11.0.0-M10 까지(포함)

10.1.0-M1 부터(포함) ~ 10.1.15 까지(포함)

9.0.0-M1 부터(포함) ~ 9.0.82 까지(포함)

8.5.0 부터(포함) ~ 8.5.95 까지(포함)

11.0.0-M11 이상

10.1.16 이상

9.0.83 이상

8.5.96 이상

CVE-2023-45648

11.0.0-M1 부터(포함) ~ 11.0.0-M11 까지(포함)

10.1.0-M1 부터(포함) ~ 10.1.13 까지(포함)

9.0.0-M1 부터(포함) ~ 9.0.80 까지(포함)

8.5.0 부터(포함) ~ 8.5.93 까지(포함)

11.0.0-M12 이상

10.1.14 이상

9.0.81 이상

8.5.94 이상

CVE-2023-42795

11.0.0-M1 부터(포함) ~ 11.0.0-M11 까지(포함)

10.1.0-M1 부터(포함) ~ 10.1.13 까지(포함)

9.0.0-M1 부터(포함) ~ 9.0.80 까지(포함)

8.5.0 부터(포함) ~ 8.5.93 까지(포함)

11.0.0-M12 이상

10.1.14 이상

9.0.81 이상

8.5.94 이상

CVE-2023-42794

9.0.70 부터(포함) ~ 9.0.80 까지(포함)

8.5.85 부터(포함) ~ 8.5.93 까지(포함)

9.0.81 이상

8.5.94 이상

CVE-2023-28709

11.0.0-M2 부터(포함) ~ 11.0.0-M4 까지(포함)

10.1.5 부터(포함) ~ 10.1.7 까지(포함)

9.0.71 부터(포함) ~ 9.0.73 까지(포함)

8.5.85 부터(포함) ~ 8.5.87 까지(포함)

11.0.0-M5 이상

10.1.8 이상

9.0.74 이상

8.5.88 이상

CVE-2023-24998

11.0.0-M1

10.1.0-M1 부터(포함) ~ 10.1.4 까지(포함)

9.0.0-M1 부터(포함) ~ 9.0.70 까지(포함)

8.5.0 부터(포함) ~ 8.5.84 까지(포함)

11.0.0-M3 이상

10.1.5 이상

9.0.71 이상

8.5.85 이상

CVE-2023-28708

11.0.0-M1 부터(포함) ~ 11.0.0-M2 까지(포함)

10.1.0-M1 부터(포함) ~ 10.1.5 까지(포함)

9.0.0-M1 부터(포함) ~ 9.0.71 까지(포함)

8.5.0 부터(포함) ~ 8.5.85 까지(포함)

11.0.0-M3 이상

10.1.6 이상

9.0.72 이상

8.5.86 이상

 

🖥️ 아코디언 대응 방안

아코디언팀은 이 취약점의 심각성을 즉시 인식하고 긴급 보안 패치를 릴리즈 했습니다.

패치는 담당 엔지니어를 통해 진행됩니다.

영향을 받는 제품 버전

제품 버전
아코디언

1.0.0 ~ 2.7.2

 

🔗 참고 자료

 


📧 이메일 문의

om@mantech.co.kr