ClickCease 수명이 다한 Ubuntu 시스템의 Tomcat 취약점 해결

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈 소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

수명이 다한 Ubuntu 시스템의 Tomcat 취약점 해결

by 로한 티말시나

2024년 8월 12일 TuxCare 전문가 팀

Apache Tomcat은 널리 사용되는 오픈 소스 웹 서버 및 서블릿 컨테이너이지만 다른 소프트웨어와 마찬가지로 취약점으로부터 자유롭지 않습니다. Canonical은 Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04 ESM, Ubuntu 16.04 ESM 등 여러 릴리스에 걸쳐 여러 Tomcat 취약점을 해결하기 위한 보안 업데이트를 릴리스했습니다. 이러한 취약점이 악용될 경우 서비스 거부, 임의 코드 실행, 민감한 정보 유출 등 심각한 결과를 초래할 수 있습니다.

이 도움말에서는 이러한 취약점에 대한 자세한 내용을 살펴보고 필수 보안 업데이트와 확장 지원을 통해 시스템을 보호하는 방법에 대한 지침을 제공합니다.

 

우분투에서 패치된 톰캣 취약점

 

CVE-2020-9484 (CVSS v3 심각도 점수: 7.0 높음)

Tomcat에서 흔하지 않은 특정 PersistenceManager를 FileStore 구성으로 잘못 처리하는 취약점이 발견되었습니다. 이 문제로 인해 원격 공격자가 임의의 코드를 실행할 수 있습니다. 이 문제는 Ubuntu 18.04에서 실행되는 Tomcat 8에만 영향을 미쳤습니다.

 

CVE-2021-25122 (CVSS v3 심각도 점수: 7.5 높음)

Tomcat의 특정 HTTP/2 연결 요청 처리에서 또 다른 취약점이 발견되었습니다. 원격 공격자는 이 결함을 악용하여 민감한 정보가 포함될 수 있는 잘못된 응답을 얻을 수 있습니다. 이 취약점은 Ubuntu 18.04 LTS의 Tomcat 8에도 영향을 미쳤습니다. HTTP/2 요청을 부적절하게 처리하면 정보 유출로 이어져 데이터 기밀성에 심각한 위험을 초래할 수 있습니다.

 

CVE-2021-41079 (CVSS v3 심각도 점수: 7.5 높음)

토마스 워제닐렉은 특정 TLS 패킷 처리와 관련된 Tomcat의 취약점을 발견했습니다. 이 문제는 원격 공격자가 잠재적으로 서비스 거부(DoS) 공격을 일으킬 수 있습니다. 이 취약점은 우분투 18.04의 Tomcat 8에만 해당됩니다. 서비스 거부 공격은 웹 서비스의 가용성을 방해하여 심각한 운영 문제를 일으킬 수 있습니다.

 

CVE-2022-23181 (CVSS v3 심각도 점수: 7.0 높음)

트룽 팜은 FileStore로 세션 파일을 처리할 때 Tomcat에서 경쟁 조건을 발견했습니다. 이 취약점으로 인해 원격 공격자가 임의의 코드를 실행할 수 있습니다. 이 취약점은 우분투 16.04 및 18.04의 Tomcat 8과 우분투 18.04 LTS 및 20.04 LTS의 Tomcat 9에 영향을 미쳤습니다.

 

CVE-2022-29885 (CVSS v3 심각도 점수: 7.5 높음)

신뢰할 수 없는 네트워크에서 가용성 보호 기능을 제공한다고 잘못 설명한 Tomcat의 문서에서 취약점이 발견되었습니다. 이 잘못된 정보로 인해 원격 공격자는 EncryptInterceptor가 사용 중일 때에도 서비스 거부를 일으킬 수 있었습니다. 이 문제는 우분투 18.04 LTS의 Tomcat 8과 우분투 18.04, 20.04 LTS 및 22.04 LTS의 Tomcat 9에 영향을 미쳤습니다.

 

우분투 시스템 보호

 

이러한 취약점과 관련된 위험을 고려할 때, Tomcat 설치에 최신 보안 패치가 적용되어 있는지 확인하는 것이 필수적입니다. Ubuntu 22.04 LTS 및 20.04 LTS와 같이 지원되는 Ubuntu 릴리스의 경우 표준 리포지토리를 통해 보안 업데이트를 사용할 수 있습니다. 이러한 업데이트를 정기적으로 적용하면 알려진 취약점으로 인한 위험을 완화하는 데 도움이 됩니다.

그러나 Ubuntu 16.04 및 18.04는 지원 종료(EOL) 에 도달하여 더 이상 표준 보안 업데이트를 제공하지 않습니다. 이러한 버전을 실행 중인 경우 지원되는 릴리즈로 업그레이드를 고려해야 합니다. 또는 연장 지원 서비스를 선택할 수도 있습니다.

 

TuxCare를 통한 수명 주기 연장 지원(ELS)

 

TuxCare는 Ubuntu 16.04 및 18.04에 대해 공식 지원 종료일 이후 최대 5년 동안 자동 보안 패치를 제공하는 수명 주기 연장 지원(ELS) 을 제공합니다. 이 서비스는 Linux 커널, Tomcat, glibc, OpenSSL, Python, OpenJDK 등을 포함한 광범위한 패키지를 지원합니다. TuxCare의 ELS를 사용하면 표준 지원 기간 이후에도 새로운 위협으로부터 시스템을 보호하여 안전한 컴퓨팅 환경을 유지할 수 있습니다.

 

결론

 

Tomcat 취약점은 웹 애플리케이션과 데이터에 심각한 위험을 초래할 수 있습니다. 이러한 취약점에 대한 정보를 지속적으로 파악하고 보안 업데이트를 즉시 적용하면 잠재적인 공격으로부터 시스템을 보호할 수 있습니다. 우분투의 EOL 버전에서 실행되는 시스템의 경우, TuxCare의 ELS와 같은 확장 지원 옵션은 보안 및 규정 준수를 유지하는 데 유용한 솔루션을 제공합니다.

이 가이드에서 수명 종료 Linux 실행의 위험성에 대해 알아보세요.

 

출처: USN-6943-1

요약
수명이 다한 Ubuntu 시스템의 Tomcat 취약점 해결
기사 이름
수명이 다한 Ubuntu 시스템의 Tomcat 취약점 해결
설명
중요한 Tomcat 취약성에 대해 알아보고 필수 업데이트 및 확장 지원을 통해 Ubuntu 서버를 보호하는 방법을 알아보세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare 게스트 작가 되기

메일

Linux 환경을 이해하도록
도와주세요!

오픈소스 현황에 대한 설문조사를 완료하면 최고 상금 500달러를 포함한 여러 가지 상품 중 하나를 받을 수 있습니다!

엔터프라이즈 Linux의 미래를 만들기 위해서는 여러분의 전문 지식이 필요합니다!