반응형
아파치 톰캣 6.0.18 이전 버전에 로컬 파일이 노출되는 심각한 취약점이 존재합니다.
/etc/passwd 같은 중요한 시스템 파일이 노출될 수 있습니다.
빠른 시간 내에 6.0.18로 업그레이드 하시길 권고합니다.
톰캣 5.5.x 대 버전이나 4.1.x 대 버전을 사용하시는 경우 설정을 변경하는 것으로 대응하시기 바랍니다.
context.xml이나 server.xml 설정 파일에서 allowLinking을 비활성화 하거나 URIencoding을 utf8로 설정하지 않으면
이 취약점을 피할 수 있습니다.
안철수 연구소에 계신 bar4mi 님이 발견하셨네요 ^^; 아래 링크를 참고하시기 바랍니다.
- Apache Tomcat Directory Traversal Vulnerability (milw0rm)
- Apache Tomcat -- Reporting Security Problems
- CVE-2008-2938 (이 글을 쓰는 시점에선 아직 공개되지 않았습니다.)
출처: http://nchovy.kr/forum/2/article/233
[톰켓정식버그 내용] http://tomcat.apache.org/security-6.html --> CVE-2008-2938
moderate: Directory traversal CVE-2008-2938
If a context is configured with allowLinking="true"
and the connector is configured with URIEncoding="UTF-8"
then a malformed request may be used to access arbitrary files on the server.
Affects: 6.0.0-6.0.16
반응형
'Server관련 > Sever(OS)' 카테고리의 다른 글
e2fsck를 이용한 리눅스 파일 시스템 복구하기 (0) | 2008.09.16 |
---|---|
[linux] LVM in rescue mode (복원) (0) | 2008.09.16 |
[Unix] 좀비 프로세스 대치법 (0) | 2008.09.09 |
[unix]kill signal + tomcat 프로세스 스레드값 만들기 (kill -3 <pid>) (0) | 2008.09.03 |
[펌]단일 Tomcat 서버에서 가상 호스트 설정법과 각 호스트별 Manager 기능 설정 (0) | 2008.04.10 |
[톰켓6.0]server.xml에 utf-8설정 (0) | 2008.04.08 |
vpn설정시 , Active 디렉토리 DNS주소와 DNS접미사 추가하기 (0) | 2008.03.26 |
nslookup으로 메일서버정보 보기 (0) | 2008.03.26 |
도움이 되셨다면 하트모양의 "♡ 공감"을 눌러주시면 큰 격려가 됩니다.
(로그인하지 않으셔도 가능)
(로그인하지 않으셔도 가능)