지난 2월 Apache Tomcat AJP 관련 취약점이 나왔습니다.
영향 받는 버전은 다음과 같습니다.
Apache Tomcat 9.0.0.M1 to 9.0.30 Apache Tomcat 8.5.0 to 8.5.50 Apache Tomcat 7.0.0 to 7.0.99
위의 버전의 Tomcat 들은 다음과 같이 상위 버전으로 업그레이드를 진행이 필요합니다.
만약, AJP를 사용하지 않고 있다면 AJP Connector 태그를 주석처리하거나 삭제하시면 됩니다.
- Apache Tomcat 9.0.31 or later - Apache Tomcat 8.5.51 or later - Apache Tomcat 7.0.100 or later
취약점 내용은 다음과 같습니다.
CVE-2020-1938 Tomcat이 AJP request 메시지를 처리할 때, 메시지에 대한 처리가 미흡하여 발생하는 원격코드실행 취약점
- 관련 링크: https://lists.apache.org/thread.html/r7c6f492fbd39af34a68681dbbba0468490ff1a97a1bd79c6a53610ef%40%3Cannounce.tomcat.apache.org%3E
- 국내 보호나라 공지 링크: https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35292&queryString=cGFnZT0zJnNvcnRfY29kZT0mc29ydF9jb2RlX25hbWU9JnNlYXJjaF9zb3J0PXRpdGxlX25hbWUmc2VhcmNoX3dvcmQ9