Ãë¾àÁ¡ID |
22663 |
À§Çèµµ |
40 |
Æ÷Æ® |
80, ... |
ÇÁ·ÎÅäÄÝ |
TCP |
ºÐ·ù |
WWW |
»ó¼¼¼³¸í |
ÇØ´ç È£½ºÆ®¿¡´Â ¹öÀü 7.0.57 ÀÌÀüÀÇ Apache Tomcat ¼¹öÀÇ 7.0.x ¾î¶² ¹öÀüÀÌ °¡µ¿ ÁßÀÎ °ÍÀ¸·Î ³ªÅ¸³´Ù. Apache Tomcat 7.0.57 ÀÌÀüÀÇ ¹öÀüÀº ´ÙÀ½°ú °°Àº ´ÙÁß Ãë¾àÁ¡ÀÌ Á¸ÀçÇÑ´Ù.
- DTLS ÆÐŶ 󸮿¡ °ü·ÃµÈ d1_both.cÆÄÀÏ¿¡ ¸Þ¸ð¸® ÀÌÁß ÇØÁ¦ ¿¡·¯°¡ Á¸ÀçÇÑ´Ù. ÀÌ·Î ÀÎÇØ ¼ºñ½º °ÅºÎ°¡ ¹ß»ýÇÒ ¼ö ÀÖ´Ù. (CVE-2014-3505)
- DTLS Çڵ彦ÀÌÅ© ¸Þ½ÃÁö 󸮿¡ °ü·ÃµÈ d1_both.cÆÄÀÏ¿¡ ¸¹Àº ¾çÀÇ ¸Þ¸ð¸®°¡ ¼ÒºñµÇ¾î ¼ºñ½º °ÅºÎ¸¦ ÀÏÀ¸Å³ ¼ö ÀÖ´Â ¿¡·¯°¡ Á¸ÀçÇÑ´Ù. (CVE-2014-3506)
- Ưº°È÷ Á¶ÀÛµÈ DTLS ÆÐŶ 󸮿¡ °ü·ÃµÈ d1_both.cÆÄÀÏ¿¡ ¸Þ¸ð¸® ´©¼ö ¿¡·¯°¡ Á¸ÀçÇÏ¿© ¼ºñ½º °ÅºÎ°¡ ¹ß»ýÇÒ ¼ö ÀÖ´Ù. (CVE-2014-3507)
- 'OBJ_obj2txt'¿Í °ü·ÃµÈ ÇÁ¸°Æ® ÇÔ¼ö 'X509_name_*'¿¡¼ ½ºÅÃÁ¤º¸¸¦ ´©¼öÇÏ´Â ¿¡·¯°¡ Á¸ÀçÇØ Á¤º¸À¯ÃâÀÌ ¹ß»ýÇÒ ¼ö ÀÖ´Ù. (CVE-2014-3508)
- ¸ÖƼ¾²·¹µù°ú ¼¼¼Ç Àç°³°¡ »ç¿ëÁßÀÏ ¶§ 'ssl_parse_serverhello_tlsext'ÇÔ¼ö°¡ ±³Âø»óÅ¿¡ ºüÁø´Ù. ÀÌ·Î ÀÎÇØ ¼ºñ½º °ÅºÎ°¡ ¹ß»ýµÉ ¼ö ÀÖ´Ù. (CVE-2014-3509)
- anonymous EC¿À ¾ÏÈ£ ü°è¿Í Á¶ÀÛµÈ Çڵ彦ÀÌÅ© ¸Þ½ÃÁö 󸮿¡ °ü·ÃµÇ¾î NULL Æ÷ÀÎÅ͸¦ ¿ªÂüÁ¶ÇÏ´Â ¿¡·¯°¡ Á¸ÀçÇÑ´Ù. ÀÌ·Î ÀÎÇØ ¼ºñ½º °ÅºÎ°¡ ¹ß»ýµÉ ¼ö ÀÖ´Ù. (CVE-2014-3510)
- ÆÄÆíÈµÈ 'ClientHello' ¸Þ½ÃÁö 󸮿¡ °ü·ÃµÈ ¿¡·¯°¡ Á¸ÀçÇÑ´Ù. ÀÌ·Î ÀÎÇØ man-in-the-middle °ø°ÝÀÚ°¡ »óÀ§ ·¹º§ Áö¿ø¿¡ »ó°ü¾øÀÌ TLS 1.0À» »ç¿ëÇϵµ·Ï ÇÒ ¼ö ÀÖ´Ù. (CVE-2014-3511)
- Secure Remote Password protocol (SRP) ÆĶó¹ÌÅÍ Ã³¸®¿¡ °ü·ÃµÈ 'srp_lib.c'¿¡ ¹öÆÛ ¿À¹öÇÃ·Î¿ì ¿¡·¯°¡ Á¸ÀçÇÑ´Ù. ÀÌ·Î ÀÎÇØ ¼ºñ½º °ÅºÎ°¡ ¹ß»ýµÇ°Å³ª ±× ¿Ü¿¡ ´Ù¸¥ ¿µÇâÀ» ¹ÌÄ¥ ¼ö ÀÖ´Ù. (CVE-2014-3512)
- DTLS SRTP Ȯâ ó¸® ¹× Á¶ÀÛµÈ Çڵ彦ÀÌÅ© ¸Þ½ÃÁö¿¡ °ü·ÃµÈ 'd1_srtp.c' ¸Þ¸ð¸® ´©¼ö ¿¡·¯°¡ Á¸ÀçÇÑ´Ù. ÀÌ·Î ÀÎÇØ ¼ºñ½º °ÅºÎ°¡ ¹ß»ýµÉ ¼ö ÀÖ´Ù. (CVE-2014-3513)
- cipher block chaining (CBC) ¸ðµå¿¡¼ SSL 3.0 ÇÚµéÀÌ block cipher¸¦ ÅëÇÏ¿© ¾ÏÈ£ÈµÈ ¸Þ½ÃÁö¸¦ ÇØÁ¦ÇÒ¶§ padding bytes¿¡ ¿¡·¯°¡ Á¸ÀçÇÑ´Ù. Man-in-the-middle °ø°ÝÀÚ´Â 256¹ø ÀÌÇÏÀÇ ½Ãµµ·Î ¾ÏÈ£ÈµÈ ÅؽºÆ®¸¦ º¹È£ÈÇÒ ¼ö ÀÖ´Ù. ÀÌ Ãë¾àÁ¡Àº 'POODLE' ·Î ¾Ë·ÁÁ® ÀÖ´Ù. (CVE-2014-3566)
- ¼¼¼Ç ƼÄÏÀ» ´Ù·ê ¶§ ¿¡·¯°¡ Á¸ÀçÇØ ¸Þ¸ð¸® ´©¼ö°¡ ¹ß»ýÇÏ¿© ¼ºñ½º °ÅºÎ »óÅ¿¡ ºüÁú ¼ö ÀÖ´Ù.(CVE-2014-3567)
- ºôµå ¼³Á¤ °úÁ¤°ú 'no-ssl3' ¿É¼Ç¿¡ ¿¡·¯°¡ Á¸ÀçÇØ, ¼¹ö¿Í Ŭ¶óÀ̾ðÆ®°£ÀÇ SSL 3.0 Çڵ彦ÀÌÅ© °úÁ¤ÀÌ ºÒ¾ÈÀüÇÑ »óÅ¿¡¼ ÁøÇàµÉ ¼ö ÀÖ´Ù.(CVE-2014-3568)
- Secure Remote Password protocol (SRP)À» ´Ù·ê ¶§ ³Î Æ÷ÀÎÅÍ ÂüÁ¶ ¿¡·¯°¡ ¹ß»ýÇØ Å¬¶óÀ̾ðÆ®°¡ Å©·¡½¬ µÇ´Â ¼ºñ½º °ÅºÎ»óÅ¿¡ ºüÁú ¼ö ÀÖ´Ù. (CVE-2014-5139)
* ¾Ë¸²: ÀÌ Á¡°ËÇ׸ñÀº ÀÌ Ãë¾àÁ¡À» Á¡°ËÇϱâ À§ÇØ ÇØ´ç À¥ ¼¹öÀÇ ¹è³Ê Á¤º¸¸¸À» È®ÀÎÇÑ´Ù. µû¶ó¼ °ÅÁþ ¾ç¼º¹ÝÀÀ(False Positive)À» º¸ÀÏ ¼ö ÀÖ´Ù.
* Âü°í »çÀÌÆ®: http://tomcat.apache.org/tomcat-7.0-doc/changelog.html https://www.imperialviolet.org/2014/10/14/poodle.html https://www.openssl.org/~bodo/ssl-poodle.pdf https://tools.ietf.org/html/draft-ietf-tls-downgrade-scsv-00
* ¿µÇâÀ» ¹Þ´Â Ç÷§Æû: Apache Tomcat Server 7.0.57 ÀÌÀüÀÇ 7.0.x ¹öÀüµé ¸ðµç ¿î¿µÃ¼Á¦ ¸ðµç ¹öÀü |
ÇØ°áÃ¥ |
Apache Software Foundation À¥ »çÀÌÆ®ÀÎ http://tomcat.apache.org/ ¿¡¼ ±¸ÇÒ ¼ö ÀÖ´Â Apache Tomcat ServerÀÇ °¡Àå ÃֽŠ¹öÀü(7.0.57 ȤÀº ÀÌÈÄ)À¸·Î ¾÷±×·¹À̵å ÇÏ¿©¾ß ÇÑ´Ù. |
°ü·Ã URL |
CVE-2014-3505,CVE-2014-3506,CVE-2014-3507,CVE-2014-3508,CVE-2014-3509,CVE-2014-3510,CVE-2014-3511,CVE-2014-3512,CVE-2014-3513,CVE-2014-3566 (CVE) |
°ü·Ã URL |
69075,69076,69077,69078,69079,69081,69082,69083,69084,70574 (SecurityFocus) |
°ü·Ã URL |
(ISS) |
|