[Tomcat] AJP 연결 관련 취약점.(CVE-2020-1938)

Tech Note 정보
카테고리: [ Apache Tomcat ]
조회수: 86738

 지난 2월 Apache Tomcat AJP 관련 취약점이 나왔습니다.

 영향 받는 버전은 다음과 같습니다.

Apache Tomcat 9.0.0.M1 to 9.0.30
Apache Tomcat 8.5.0 to 8.5.50
Apache Tomcat 7.0.0 to 7.0.99

위의 버전의 Tomcat 들은 다음과 같이 상위 버전으로 업그레이드를 진행이 필요합니다.

만약, AJP를 사용하지 않고 있다면 AJP Connector 태그를 주석처리하거나 삭제하시면 됩니다.

- Apache Tomcat 9.0.31 or later
- Apache Tomcat 8.5.51 or later
- Apache Tomcat 7.0.100 or later

취약점 내용은 다음과 같습니다.

CVE-2020-1938
Tomcat이 AJP request 메시지를 처리할 때, 메시지에 대한 처리가 미흡하여 발생하는 원격코드실행 취약점