| 취약점ID |
22975 |
| 위험도 |
30 |
| 포트 |
80, ... |
| 프로토콜 |
TCP |
| 분류 |
WWW |
| 상세설명 |
원격 호스트에 설치된 Tomcat 버전은 9.0.43 이전입니다. 따라서 공급 업체 권고에 언급 된 여러 취약점의 영향을 받습니다.
-새로운 h2c 연결 요청에 응답 할 때 정보 유출 취약성이 존재합니다. Apache Tomcat 버전 9.0.0.M1 ~ 9.0.41은 요청 헤더를 복제 할 수 있으며 한 요청에서 다른 요청으로 제한된 양의 요청 본문이 사용자 A와 사용자 B가 모두 가능함을 의미합니다. 사용자 A의 요청 결과를 참조하십시오. (CVE-2021-25122)
-Apache Tomcat 10.0.0-M1 ~ 10.0.0, 9.0.0.M1 ~ 9.0.41, 8.5.0 ~ 8.5.61 또는 7.0.0을 사용하는 경우. 사용 가능성이 거의 없는 구성 엣지 케이스가 있는 7.0.107로 Tomcat 인스턴스는 여전히 CVE-2020-9494에 취약했습니다. CVE-2020-9484에 대해 이전에 게시 된 필수 구성 요소와 이전에 게시 된 CVE-2020-9484에 대한 완화 조치가 모두이 문제에 적용됩니다. (CVE-2021-25329)
-Apache Tomcat 9.0.0.M1에서 9.0.41까지 사용 가능성이 거의 없는 구성 에지 케이스를 사용하는 경우 역 직렬화를 통한 원격 코드 실행 취약성이 존재하지만 Tomcat 인스턴스는 여전히 CVE-2020-9494에 취약했습니다. CVE-2020-9484에 대해 이전에 게시 된 필수 구성 요소와 이전에 게시 된 CVE-2020-9484에 대한 완화 조치가 모두이 문제에 적용됩니다. (CVE-2021-25329)
* 참고 사이트:
https://github.com/apache/tomcat/commit/4785433a226a20df6acbea49296e1ce7e23de453
https://github.com/apache/tomcat/commit/d47c20a776e8919eaca8da9390a32bc8bf8210b1
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.43
* 영향을 받는 플랫폼:
Apache Tomcat Server 9.0.43 이전의 9.0.x 버전들
모든 운영체제 모든 버전 |
| 해결책 |
Apache Software Foundation 웹 사이트인 http://tomcat.apache.org/ 에서 구할 수 있는 Apache Tomcat Server의 가장 최신 버전(9.0.43 혹은 이후)으로 업그레이드 하여야 한다. |
| 관련 URL |
CVE-2021-25122,CVE-2021-25329 (CVE) |
| 관련 URL |
(SecurityFocus) |
| 관련 URL |
(ISS) |
|
