Apache Tomcat Native에서 인증 우회 신규 취약점 발견

Apache Tomcat Native, 클라이언트 인증서로 TLS 인증 가능한 인증우회 취약점 발견 Native 1.1.23~1.1.34와 1.2.0~1.2.16 버전 사용자는 최신 버전으로 업데이트해야

[보안뉴스 김경애 기자] Tomcat Native는 Tomcat이 특정 기능을 사용할 수 있도록 추가된 라이브러리로, 사용자가 추가로 설치해 사용이 가능하다. 이러한 가운데 최근 Apache Tomcat Native에서 신규 취약점이 발견됐다.

[이미지=tomcat.apache 사이트]

이번에 발견된 취약점은 Native 라이브러리에서 OCSP 응답에 대한 검증이 미흡해 해지된 클라이언트 인증서로 TLS 인증이 가능한 인증우회 취약점(CVE-2018-8019, CVE-2018-8020)이다.

OCSP는 온라인 인증서 상태 프로토콜(Online Certificate Status Protocol)의 약자로, 실시간으로 인증서를 검증할 수 있는 프로토콜이다.

영향을 받는 제품은 Native 1.1.23~1.1.34 버전과 1.2.0~1.2.16 버전이다. OCSP를 사용하지 않는 시스템은 영향 받지 않는다.

따라서 취약한 버전을 사용 중인 서버의 담당자는 최신 버전으로 1.2.17 버전으로 업데이트 적용하는 것이 바람직하다.

좀더 자세한 사항은 한국인터넷진흥원 인터넷침해대응센터(국번없이 118)에 문의하면 된다.

[참고사이트]
[1] https://tomcat.apache.org/security-native.html
[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8019
[3] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8020
[4] http://tomcat.apache.org/download-native.cgi
[김경애 기자(boan3@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다