개요
Apache Tomcat에서 발생하는 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로 업데이트 하시기 바랍니다.
대상 제품
CVE-2024-52316
- Apache Tomcat 버전: 11.0.0-M1(포함) ~ 11.0.0-M26(포함)
- Apache Tomcat 버전: 10.1.0-M1(포함) ~ 10.1.30(포함)
- Apache Tomcat 버전: 9.0.0-M1(포함) ~ 9.0.95(포함)
CVE-2024-52317
- Apache Tomcat 버전: 11.0.0-M23(포함) ~ 11.0.0-M26(포함)
- Apache Tomcat 버전: 10.1.27(포함) ~ 10.1.30(포함)
- Apache Tomcat 버전: 9.0.92(포함) ~ 9.0.95(포함)
CVE-2024-52318
- Apache Tomcat 버전: 11.0.0
- Apache Tomcat 버전: 10.1.31
- Apache Tomcat 버전: 9.0.96
해결된 취약점
Apache Tomcat의 커스텀 Jakarta 인증(ServerAuthContext) 구성에서 인증 실패 상태를 명시하지 않으면 인증 우회가 발생할 수 있는 취약점(CVE-2024-52316)
Apache Tomcat의 HTTP/2 요청에서 요청 및 응답 재활용 오류로 인해 사용자 간의 요청/응답이 혼동될 수 있는 취약점(CVE-2024-52317)
Apache Tomcat의 잘못된 객체 재활용 및 재사용 취약점(CVE-2024-52318)
취약점 패치
최신 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2024-52316, CVE-2024-52317
- Apache Tomcat 버전: 11.0.0 이상 버전
- Apache Tomcat 버전: 10.1.31 이상 버전
- Apache Tomcat 버전: 9.0.96 이상 버전
CVE-2024-52318
- Apache Tomcat 버전: 11.0.1 이상 버전
- Apache Tomcat 버전: 10.1.33 이상 버전 (10.1.32 버전은 출시되지 않았습니다.)
- Apache Tomcat 버전: 9.0.97 이상 버전
참고사이트
[1] CVE-2024-52316 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-52316
[2] [SECURITY] CVE-2024-52316 Apache Tomcat – Authentication Bypass
https://lists.apache.org/thread/lopzlqh91jj9n334g02om08sbysdb928
[3] CVE-2024-52317 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-52317
[4] [SECURITY] CVE-2024-52317 Apache Tomcat – Request and/or response mix-up
https://lists.apache.org/thread/ty376mrxy1mmxtw3ogo53nc9l3co3dfs
[5] CVE-2024-52318 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-52318
[6] [SECURITY] CVE-2024-52318 Apache Tomcat – XSS in generated JSPs
https://lists.apache.org/thread/co243cw1nlh6p521c5265cm839wkqdp9