□ 개요
o Apache 소프트웨어 재단은 소프트웨어에서 발생하는 취약점을 해결한 보안 업데이트 발표 [1]
o 영향받는 버전을 사용 중인 시스템 사용자는 해결 방안에 따라 최신 버전으로 업데이트 권고
□ 설명
o Apache Tomcat에서 발생하는 서비스 거부 취약점 (CVE-2024-24549) [1][11][12][13][14] o Apache Tomcat에서 발생하는 서비스 거부 취약점 (CVE-2024-23672) [2][11][12][13][14] o Apache Tomcat에서 발생하는 민감 정보 노출 취약점 (CVE-2024-21733) [3][11][12] o Apache Tomcat에서 발생하는 부적절한 입력 값 검증 취약점 (CVE-2023-46589) [4][11][12][13][14] o Apache Tomcat에서 발생하는 부절적한 입력 값 검증 취약점 (CVE-2023-45648) [5][11][12][13][14] o Apache Tomcat에서 발생하는 정보 노출 취약점 (CVE-2023-42795) [6][11][12][13][14] o Apache Tomcat에서 발생하는 서비스 거부 취약점 (CVE-2023-42794) [7][13][14] o Apache Tomcat에서 발생하는 서비스 거부 취약점 (CVE-2023-28709) [8][11][12][13][14] o Apache Tomcat에서 발생하는 서비스 거부 취약점 (CVE-2023-24998) [9][12][13][14] o Apache Tomcat에서 발생하는 취약한 암호화 통신 취약점 (CVE-2023-28708) [10][11][12][13][14]
□ 영향받는 제품 및 해결 방안
제품명 | 취약점 | 영향받는 버전 | 해결 버전
| Apache Tocat | CVE-2024-24549 | 11.0.0-M1 부터(포함) ~ 11.0.0-M16 까지(포함) 10.1.0-M1 부터(포함) ~ 10.1.18 까지(포함) 9.0.0-M1 부터(포함) ~ 9.0.85 까지(포함) 8.5.0 부터(포함) ~ 8.5.98 까지(포함) | 11.0.0-M17 이상 10.1.19 이상 9.0.86 이상 8.5.99 이상 | CVE-2024-23672 | CVE-2024-21733 | 9.0.0-M11 부터(포함) ~ 9.0.43 까지(포함) 8.5.7 부터(포함) ~ 8.5.63 까지(포함) | 9.0.44 이상 8.5.64 이상 | CVE-2023-46589 | 11.0.0-M1 부터(포함) ~ 11.0.0-M10 까지(포함) 10.1.0-M1 부터(포함) ~ 10.1.15 까지(포함) 9.0.0-M1 부터(포함) ~ 9.0.82 까지(포함) 8.5.0 부터(포함) ~ 8.5.95 까지(포함) | 11.0.0-M11 이상 10.1.16 이상 9.0.83 이상 8.5.96 이상 | CVE-2023-45648 | 11.0.0-M1 부터(포함) ~ 11.0.0-M11 까지(포함) 10.1.0-M1 부터(포함) ~ 10.1.13 까지(포함) 9.0.0-M1 부터(포함) ~ 9.0.80 까지(포함) 8.5.0 부터(포함) ~ 8.5.93 까지(포함) | 11.0.0-M12 이상 10.1.14 이상 9.0.81 이상 8.5.94 이상 | CVE-2023-42795 | 11.0.0-M1 부터(포함) ~ 11.0.0-M11 까지(포함) 10.1.0-M1 부터(포함) ~ 10.1.13 까지(포함) 9.0.0-M1 부터(포함) ~ 9.0.80 까지(포함) 8.5.0 부터(포함) ~ 8.5.93 까지(포함) | 11.0.0-M12 이상 10.1.14 이상 9.0.81 이상 8.5.94 이상 | CVE-2023-42794 | 9.0.70 부터(포함) ~ 9.0.80 까지(포함) 8.5.85 부터(포함) ~ 8.5.93 까지(포함) | 9.0.81 이상 8.5.94 이상 | CVE-2023-28709 | 11.0.0-M2 부터(포함) ~ 11.0.0-M4 까지(포함) 10.1.5 부터(포함) ~ 10.1.7 까지(포함) 9.0.71 부터(포함) ~ 9.0.73 까지(포함) 8.5.85 부터(포함) ~ 8.5.87 까지(포함) | 11.0.0-M5 이상 10.1.8 이상 9.0.74 이상 8.5.88 이상 | CVE-2023-24998 | 11.0.0-M1 10.1.0-M1 부터(포함) ~ 10.1.4 까지(포함) 9.0.0-M1 부터(포함) ~ 9.0.70 까지(포함) 8.5.0 부터(포함) ~ 8.5.84 까지(포함) | 11.0.0-M3 이상 10.1.5 이상 9.0.71 이상 8.5.85 이상 | CVE-2023-28708 | 11.0.0-M1 부터(포함) ~ 11.0.0-M2 까지(포함) 10.1.0-M1 부터(포함) ~ 10.1.5 까지(포함) 9.0.0-M1 부터(포함) ~ 9.0.71 까지(포함) 8.5.0 부터(포함) ~ 8.5.85 ?지(포함) | 11.0.0-M3 이상 10.1.6 이상 9.0.72 이상 8.5.86 이상 | ※ 하단의 참고사이트를 확인하여 업데이트 수행 [11][12][13][14]
□ 기타 문의사항
o 한국인터넷진흥원 사이버민원센터: 국번없이 118
[참고사이트] [1] https://lists.apache.org/thread/4c50rmomhbbsdgfjsgwlb51xdwfjdcvg
[2] https://lists.apache.org/thread/cmpswfx6tj4s7x0nxxosvfqs11lvdx2f
[3] https://lists.apache.org/thread/h9bjqdd0odj6lhs2o96qgowcc6hb0cfz
[4] https://lists.apache.org/thread/0rqq6ktozqc42ro8hhxdmmdjm1k1tpxr
[5] https://lists.apache.org/thread/2pv8yz1pyp088tsxfb7ogltk9msk0jdp
[6] https://lists.apache.org/thread/065jfyo583490r9j2v73nhpyxdob56lw
[7] https://lists.apache.org/thread/vvbr2ms7lockj1hlhz5q3wmxb2mwcw82
[8] https://lists.apache.org/thread/7wvxonzwb7k9hx9jt3q33cmy7j97jo3j
[9] https://lists.apache.org/thread/g16kv0xpp272htz107molwbbgdrqrdk1
[10] https://lists.apache.org/thread/hdksc59z3s7tm39x0pp33mtwdrt8qr67
[11] https://tomcat.apache.org/security-11.html
[12] https://tomcat.apache.org/security-10.html
[13] https://tomcat.apache.org/security-9.html
[14] https://tomcat.apache.org/security-8.html
□작성:침해사고분석단 취약점분석팀 | 