개요
Apache 소프트웨어(Subversion, Avro Java SDK) 에서 발생하는 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 시스템 사용자는 최신 버전으로 업데이트하시기 바랍니다
대상 제품
CVE-2024-45720
- Subversion 버전: ~ 1.14.3(포함) (Windows)
CVE-2024-47561
- Apache Avro Java SDK 버전: ~ 1.11.4(제외)
해결된 취약점
명령줄 인수의 “최적 적합” 문자 인코딩 변환으로 인해 명령어 해석이 잘못될 수 있어 인수 주입 및 프로그램 실행 문제를 일으킬 수 있는 취약점(CVE-2024-45720)
Java SDK에서 스키마 파싱을 통해 악의적인 행위자가 임의의 코드를 실행할 수 있는 취약점(CVE-2024-47561)
취약점 패치
최신 업데이트를 통해 제품별 취약점 패치가 다음과 같이 제공되었습니다. 영향받는 버전을 이용하는 경우 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2024-45720
- Subversion 버전: 1.14.4 (Windows)
CVE-2024-47561
- Apache Avro Java SDK 버전: 1.11.4
- Apache Avro Java SDK 버전: 1.12.0
참고사이트
[1] CVE-2024-45720 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-45720
[2] Subversion command line argument injection on Windows platforms
https://subversion.apache.org/security/CVE-2024-45720-advisory.txt
[3] CVE-2024-47561 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-47561
[4] CVE-2024-47561: Apache Avro Java SDK: Arbitrary Code Execution when reading Avro Data (Java SDK)
https://lists.apache.org/thread/c2v7mhqnmq0jmbwxqq3r5jbj1xg43h5x