헐랭이와 IT보안 (opt9's IT Security)

swbae.egloos.com

애드센스4


Tomcat 6.0.18 미만 버전의 Directory Traversal 취약점 보안 정보

Tomcat 6.0.18 미만 버전에 존재하는 심각한 정보 유출 취약점이 드디어 공식적으로 문서화 되었습니다.

Tomcat 6.x 의 취약점 정보 : http://tomcat.apache.org/security-6.html
상세 정보 : http://www.milw0rm.com/exploits/6229

안철수연구소의 여성구씨가 발견한 것으로, 아쉽게도 6.0.18 의 릴리즈 스케줄에 쫓겨서 제품이 먼저 나오고, 취약점 정보는 한참 뒤에야 문서화 된 점... Tomcat 팀에 아쉽습니다.

덕택에 이 문제는 한동안 몇 사람들만 아는 0-day 상태로 계속 방치되어 있었습니다. 물론 특이한 조건이 있어서, 실제 취약한 상태로 운영되는 서버는 적었을 것으로 예측합니다만...

해당 이슈는 CVE-2008-2938  로 등록되었네요.
이글루스 가든 - professional secur...
태그 : , , ,

포스트 메타 정보

자동 검색 관련글

퍼블리싱 및 추천

같은 카테고리의 글

트랙백(1) 덧글(1)

트랙백

이 글과 관련된 글 쓰기 (트랙백 보내기)
TrackbackURL : http://swbae.egloos.com/tb/1795952 [도움말]

  • 아파치 톰캣 디렉터리 열람 취약점 2008/08/12 18:28 #

    아파치 톰캣 6.0.18 이전 버전에 로컬 파일이 노출되는 심각한 취약점이 존재합니다. /etc/passwd 같은 중요한 시스템 파일이 노출될 수 있습니다. 빠른 시간 내에 6.0.18로 업그레이드 하시길 권고합니다. 톰캣 5.5.x 대 버전이나 4.1.x 대 버전을 사용하시는 경우 설정을 변경하는 것으로 대응하시기 바랍니다. context.xml이나 server.xml 설정 파일에서 allowLinking을 비활성화 하거나 URIencodi...... more

덧글

  • 송재훈 2008/08/14 14:47 # 삭제 답글

    성구가 밤 12시에 전화해서 물어볼려고 한게 이거였구만.. ㅋㅋ
댓글 입력 영역

검색

블로그내 검색 영역

애드센스7

News

Exploits

트위터

드림위즈

Dataloss DB

swbae.egloos.com is powered by Egloos. Subscribe to RSS Skin design by 헐랭이.