개요
Apache Tomcat에서 발생하는 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로 업데이트 하시기 바랍니다.
대상 제품
CVE-2025-66614
Apache Tomcat 버전: 11.0.0-M1 이상 11.0.14 이하
Apache Tomcat 버전: 10.1.0-M1 이상 10.1.49 이하
Apache Tomcat 버전: 9.0.0.M1 이상 9.0.112
CVE-2026-24734
Apache Tomcat Native 버전: 2.0.0 이상 2.0.11 이하
Apache Tomcat Native 버전: 1.3.0 이상 1.3.4 이하
Apache Tomcat 버전: 11.0.0-M1 이상 11.0.17 이하
Apache Tomcat 버전: 10.1.0-M7 이상 10.1.51 이하
Apache Tomcat 버전: 9.0.83 이상 9.0.114 이하
해결된 취약점
Apache Tomcat에서 발생하는 클라이언트 인증서 검증 우회 취약점(CVE-2025-66614)
Apache Tomcat 및 Tomcat Native에서 발생하는 OCSP 인증서 폐기 검증 우회 취약점(CVE-2026-24734)
취약점 패치
최신 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2025-66614
Apache Tomcat 버전: 11.0.15 이상
Apache Tomcat 버전: 10.1.50 이상
Apache Tomcat 버전: 9.0.113 이상
CVE-2026-24734
Apache Tomcat Native 버전: 2.0.12 이상
Apache Tomcat Native 버전: 1.3.5 이상
Apache Tomcat 버전: 11.0.18 이상
Apache Tomcat 버전: 10.1.52 이상
Apache Tomcat 버전: 9.0.115 이상
참고사이트
[1] CVE-2025-66614 Apache Tomcat – Client certificate verification bypass due to virtual host mapping
https://lists.apache.org/thread/vw6lxtlh2qbqwpb61wd3sv1flm2nttw7
[2] CVE-2026-24734 Apache Tomcat and Tomcat Native – OCSP revocation bypass
https://lists.apache.org/thread/292dlmx3fz1888v6v16221kpozq56gml