English
¢¸¢· µÚ·Î
Ãë¾àÁ¡ID 22845
À§Çèµµ 30
Æ÷Æ® 80, ...
ÇÁ·ÎÅäÄÝ TCP
ºÐ·ù WWW
»ó¼¼¼³¸í ÇØ´ç È£½ºÆ®¿¡´Â ¹öÀü 2.4.30 ÀÌÀüÀÇ Apache HTTP ¼­¹ö°¡ °¡µ¿ ÁßÀÎ °ÍÀ¸·Î ³ªÅ¸³­´Ù. ÇØ´ç ¹öÀüÀº ´ÙÀ½°ú °°Àº ´ÙÁß Ãë¾àÁ¡ÀÌ Á¸ÀçÇÑ´Ù.

- modules/aaa/mod_authnz_ldap.c ÆÄÀÏÀÇ derive_codepage_from_lang() ÇÔ¼ö¿¡¼­ 2¹ÙÀÌÆ®º¸´Ù ÀÛÀº 'Accept-Language' Çì´õ¸¦ ¿Ã¹Ù¸£°Ô ó¸®ÇÏÁö ¸øÇØ ¸Þ¸ð¸® °æ°è¸¦ ³Ñ´Â ¿À·ù°¡ ¹ß»ýÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â Á¶ÀÛµÈ ¿äûÀ¸·Î ¼­ºñ½º °ÅºÎ¸¦ ÀÏÀ¸Å³ ¼ö ÀÖ´Ù. (CVE-2017-15710)

- server/protocol.c ÆÄÀÏÀÇ ap_rgetline_core() ÇÔ¼ö¿¡ <FilesMatch> Ç¥ÇöÀ» ¿Ã¹Ù¸£°Ô ó¸®ÇÏÁö ¸øÇØ °ø°ÝÀÚ°¡ Á¢±ÙÁ¦¾î¸¦ ¿ìȸÇÏ¿© ÀÓÀÇÀÇ ÆÄÀÏÀ» ¾÷·ÎµåÇÒ ¼ö ÀÖ´Â ¿À·ù°¡ Á¸ÀçÇÑ´Ù. (CVE-2017-15715)

- modules/session/mod_session.c ÆÄÀÏÀÇ session_fixups() ÇÔ¼ö¿¡¼­ mod_session µ¥ÀÌÅ͸¦ CGI ¾ÖÇø®ÄÉÀ̼ǿ¡ Àü¼ÛÇÒ ¶§ µ¥ÀÌÅÍ°¡ º¯°æµÉ ¼ö ÀÖ´Â ¿À·ù°¡ Á¸ÀçÇÑ´Ù. (CVE-2018-1283)

- HTTP Çì´õ¸¦ ó¸®ÇÒ ¶§ »çÀÌÁî Á¦ÇÑÀ» ¿Ã¹Ù¸£°Ô ÇÏÁö ¸øÇÏ¿© ¿À·ù°¡ ¹ß»ýÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â Á¶ÀÛµÈ ¿äûÀ¸·Î ¼­ºñ½º °ÅºÎ¸¦ ÀÏÀ¸Å³ ¼ö ÀÖ´Ù. (CVE-2018-1301)

- HTTP/2 ½ºÆ®¸² ¼Ë´Ù¿îÀ» ó¸®ÇÒ ¶§ ¸Þ¸ð¸®¸¦ À߸ø ÇØÁ¦ÇÏ´Â ¿À·ù°¡ ¹ß»ýÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â ¼­ºñ½º °ÅºÎ¸¦ ÀÏÀ¸Å³ ¼ö ÀÖ´Ù. (CVE-2018-1302)

- modules/cache/mod_cache_socache.c ÆÄÀÏÀÇ read_table() ÇÔ¼ö¿¡¼­ ºñ¾îÀÖ´Â Çì´õ¸¦ ó¸®ÇÒ ¶§ ¸Þ¸ð¸® °æ°è¸¦ ³Ñ´Â ¿À·ù°¡ ¹ß»ýÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â Á¶ÀÛµÈ ¿äûÀ¸·Î ¼­ºñ½º °ÅºÎ¸¦ ÀÏÀ¸Å³ ¼ö ÀÖ´Ù. (CVE-2018-1303)

- modules/aaa/mod_auth_digest.c ÆÄÀÏ¿¡ HTTP µðÀÌÁ¦½ºÆ® ÀÎÁõ 縰Áö¸¦ Àü¼ÛÇÒ ¶§ ºÎÀûÀýÇÑ Àӽþ »ý¼ºÇÏ´Â ¿À·ù°¡ Á¸ÀçÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â ÇØ´ç ¼­¹ö¿¡ ¸±·¹ÀÌ °ø°ÝÀ» ÇÒ ¼ö ÀÖ´Ù. (CVE-2018-1312)

* ¾Ë¸²: ÀÌ Á¡°ËÇ׸ñÀº ÀÌ Ãë¾àÁ¡À» Á¡°ËÇϱâ À§ÇØ ÇØ´ç À¥ ¼­¹öÀÇ ¹è³Ê Á¤º¸¸¸À» È®ÀÎÇÑ´Ù. µû¶ó¼­ °ÅÁþ ¾ç¼º¹ÝÀÀ(False Positive)À» º¸ÀÏ ¼ö ÀÖ´Ù.

* Âü°í »çÀÌÆ®:
https://archive.apache.org/dist/httpd/CHANGES_2.4.33
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.30

* ¿µÇâÀ» ¹Þ´Â Ç÷§Æû:
Apache HTTP Server 2.4.30 ÀÌÀüÀÇ 2.4.x ¹öÀüµé
Any operating system Any version
ÇØ°áÃ¥ Apache Software Foundation À¥ »çÀÌÆ®ÀÎ http://httpd.apache.org/download.cgi ¿¡¼­ ±¸ÇÒ ¼ö ÀÖ´Â Apache HTTP ServerÀÇ °¡Àå ÃֽŠ¹öÀü(2.4.30 ȤÀº ÀÌÈÄ)À¸·Î ¾÷±×·¹À̵å ÇÏ¿©¾ß ÇÑ´Ù.
°ü·Ã URL CVE-2017-15710,CVE-2017-15715,CVE-2018-1283,CVE-2018-1301,CVE-2018-1302,CVE-2018-1303,CVE-2018-1312 (CVE)
°ü·Ã URL 103512,103515,103520,103522,103524,103525,103528 (SecurityFocus)
°ü·Ã URL (ISS)