English
¢¸¢· µÚ·Î
Ãë¾àÁ¡ID 22694
À§Çèµµ 30
Æ÷Æ® 80, ...
ÇÁ·ÎÅäÄÝ TCP
ºÐ·ù WWW
»ó¼¼¼³¸í ÇØ´ç È£½ºÆ®¿¡´Â ¹öÀü 8.0.21 ÀÌÀüÀÇ Apache Tomcat ¼­¹öÀÇ 8.0.x ¾î¶² ¹öÀüÀÌ °¡µ¿ ÁßÀÎ °ÍÀ¸·Î ³ªÅ¸³­´Ù. Apache Tomcat 8.0.21 ÀÌÀüÀÇ ¹öÀüÀº ´ÙÀ½°ú °°Àº ´ÙÁß Ãë¾àÁ¡ÀÌ Á¸ÀçÇÑ´Ù.

- SSLv3 ¿É¼ÇÀÌ È°¼ºÈ­ µÇÁö ¾ÊÀº »óÅ¿¡¼­ SSLv3 ClientHello¸¦ ¼ö½ÅÇßÀ» ¶§ NULL Æ÷ÀÎÅ͸¦ ¿ªÂüÁ¶ÇÏ´Â ¿¡·¯°¡ ¹ß»ýÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â Á¶ÀÛµÈ Çڵ彦ÀÌÅ©¸¦ ÀÌ¿ëÇÏ¿© ¼­ºñ½º °ÅºÎ¸¦ ÀÏÀ¸Å³ ¼ö ÀÖ´Ù. (CVE-2014-3569)

- BN_sqr ½ÇÇà ½Ã Å« ¼öÀÇ Á¦°öÀ» ¿Ã¹Ù¸£°Ô °è»êÇÏÁö ¸øÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â ¾ÏÈ£ º¸È£ ¸ÅÄ¿´ÏÁòÀ» ¿ìȸÇÒ ¼ö ÀÖ´Ù. (CVE-2014-3570)

- DTLS ¸Þ½ÃÁö¸¦ ó¸®ÇÒ ¶§ dtls1_get_record¿¡¼­ NULL Æ÷ÀÎÅ͸¦ ¿ªÂüÁ¶ÇÏ´Â ¿¡·¯°¡ ¹ß»ýÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â Á¶ÀÛµÈ DTLS ¸Þ½ÃÁö¸¦ ÀÌ¿ëÇÏ¿© ¼­ºñ½º °ÅºÎ¸¦ ÀÏÀ¸Å³ ¼ö ÀÖ´Ù. (CVE-2014-3571)

- ServerKeyExchange ¸Þ½ÃÁö ¾øÀÌ ECDSA ÀÎÁõ¼­¸¦ »ç¿ë ½Ã ECDH Çڵ彦ÀÌÅ©¿¡ ¿À·ù°¡ ¹ß»ýÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â Àü¹æÇâ º¸¾È ¾ÈÀü¼ºÀ» ÀÒµµ·Ï ÇÒ ¼ö ÀÖ´Ù. (CVE-2014-3572)

- ÀÎÁõ¼­ µ¥ÀÌÅÍ¿¡ Àִ ƯÁ¤ Á¦ÇÑ »çÇ×À» ¿Ã¹Ù¸£°Ô ½ÇÇàÇÏÁö ¾Ê´Â´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â »çÀÎÀÌ µÇÁö ¾ÊÀº ºÎºÐ¿¡ Á¶ÀÛµÈ µ¥ÀÌÅ͸¦ Æ÷ÇÔ½ÃÄÑ º¸¾ÈÀ» ¿ìȸÇÒ ¼ö ÀÖ´Ù. (CVE-2014-8275)

- RSA Àӽà ۸¦ ó¸®ÇÒ ¶§ ¿¡·¯°¡ ¹ß»ýÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â ¼¼¼Ç º¸¾ÈÀÇ ¼öÁØÀ» ³·Ãâ ¼ö ÀÖ´Ù. (CVE-2015-0204)

- CertificateVerify ¸Þ½ÃÁö ¾øÀÌ Å¬¶óÀ̾ðÆ® ÀÎÁõÀ» À§ÇÑ DH ÀÎÁõ¼­¸¦ ¹Þ¾Æ µéÀÏ ¶§ ¿¡·¯°¡ ¹ß»ýÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â °³ÀÎ Å° ¾øÀÌ ¼­ºñ½º¿¡ ´ëÇÑ ÀÎÁõÀ» ÇÒ ¼ö ÀÖ´Ù. (CVE-2015-0205)

- °°Àº ½ÃÄö½º ¹øÈ£¸¦ ´ã°í ÀÖ´Â DTLS ·¹Äڵ带 ó¸®ÇÒ ¶§ dtls1_buffer_record ÇÔ¼ö¿¡ ¸Þ¸ð¸® ´©¼ö ¿¡·¯°¡ Á¸ÀçÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â ¼­ºñ½º °ÅºÎ¸¦ ÀÏÀ¸Å³ ¼ö ÀÖ´Ù. (CVE-2015-0206)

- ec_asn1.c ÆÄÀÏÀÇ d2i_ECPrivateKey ÇÔ¼ö¿¡ Use-after-free ¿¡·¯°¡ Á¸ÀçÇÏ¿© ¼­ºñ½º °ÅºÎ°¡ ¹ß»ýÇÒ ¼ö ÀÖ´Ù. (CVE-2015-0209)

- a_type.c ÆÄÀÏÀÇ ASN1_TYPE_cmp ÇÔ¼ö¿¡¼­ BOOLÇü ºñ±³¸¦ ¿Ã¹Ù¸£°Ô ¼öÇàÇÏÁö ¾Ê¾Æ ¼­ºñ½º °ÅºÎ°¡ ¹ß»ýÇÒ ¼ö ÀÖ´Ù. (CVE-2015-0286)

- tasn_dec.c ÆÄÀÏÀÇ ASN1_item_ex_d2i ÇÔ¼ö¿¡¼­ CHOICE¿Í ADB µ¥ÀÌÅÍ ±¸Á¶¸¦ ´Ù½Ã ÃʱâÈ­ ÇÏÁö ¾Ê¾Æ ¼­ºñ½º °ÅºÎ°¡ ¹ß»ýÇÒ ¼ö ÀÖ´Ù. (CVE-2015-0287)

- x509_req.c ÆÄÀÏÀÇ X509_to_X509_REQ ÇÔ¼ö¿¡¼­ ÀÎÁõÅ°¸¦ ¿Ã¹Ù¸£°Ô ó¸®ÇÏÁö ¸øÇØ ¼­ºñ½º °ÅºÎ°¡ ¹ß»ýÇÒ ¼ö ÀÖ´Ù. (CVE-2015-0288)

- PKCS#7 ÆÄ½Ì ½Ã ¿ÜºÎ ÄÜÅÙÃ÷ Á¤º¸°¡ ºüÁ®ÀÖ´Â °æ¿ì¸¦ ¿Ã¹Ù¸£°Ô ó¸®ÇÏÁö ¸øÇØ ¼­ºñ½º °ÅºÎ°¡ ¹ß»ýÇÒ ¼ö ÀÖ´Ù. (CVE-2015-0289)

- CLIENT-MASTER-KEY ¸Þ½ÃÁö¸¦ ¿Ã¹Ù¸£°Ô ó¸®ÇÏÁö ¸øÇÏ¿© SSLv2 ½ÇÇà ½Ã ¼­ºñ½º °ÅºÎ°¡ ¹ß»ýÇÒ ¼ö ÀÖ´Ù. (CVE-2015-0293)

* ¾Ë¸²: ÀÌ Á¡°ËÇ׸ñÀº ÀÌ Ãë¾àÁ¡À» Á¡°ËÇϱâ À§ÇØ ÇØ´ç À¥ ¼­¹öÀÇ ¹è³Ê Á¤º¸¸¸À» È®ÀÎÇÑ´Ù. µû¶ó¼­ °ÅÁþ ¾ç¼º¹ÝÀÀ(False Positive)À» º¸ÀÏ ¼ö ÀÖ´Ù.

* Âü°í »çÀÌÆ®:
http://tomcat.apache.org/tomcat-8.0-doc/changelog.html
https://www.openssl.org/news/openssl-1.0.1-notes.html
https://www.openssl.org/news/secadv/20150108.txt
https://www.openssl.org/news/vulnerabilities.html
https://www.openssl.org/news/secadv/20150319.txt

* ¿µÇâÀ» ¹Þ´Â Ç÷§Æû:
Apache Tomcat Server 8.0.21 ÀÌÀüÀÇ 8.0.x ¹öÀüµé
¸ðµç ¿î¿µÃ¼Á¦ ¸ðµç ¹öÀü
ÇØ°áÃ¥ Apache Software Foundation À¥ »çÀÌÆ®ÀÎ http://tomcat.apache.org/ ¿¡¼­ ±¸ÇÒ ¼ö ÀÖ´Â Apache Tomcat ServerÀÇ °¡Àå ÃֽŠ¹öÀü(8.0.21 ȤÀº ÀÌÈÄ)À¸·Î ¾÷±×·¹À̵å ÇÏ¿©¾ß ÇÑ´Ù
°ü·Ã URL CVE-2014-3569,CVE-2014-3570,CVE-2014-3571,CVE-2014-3572,CVE-2014-8275,CVE-2015-0204,CVE-2015-0205,CVE-2015-0206,CVE-2015-0209,CVE-2015-0286 (CVE)
°ü·Ã URL 71934,71935,71936,71937,71939,71940,71941,71942,73225,73227,73231,73232,73237,73239 (SecurityFocus)
°ü·Ã URL (ISS)