Server관련/Sever(OS)

아파치 톰캣 디렉터리 열람 취약점

saltdoll 2008. 8. 13. 17:30
반응형

Tomcat은 apache foundation프로젝트입니다.

아파치 톰캣 6.0.18 이전 버전에 로컬 파일이 노출되는 심각한 취약점이 존재합니다.

/etc/passwd 같은 중요한 시스템 파일이 노출될 수 있습니다.

빠른 시간 내에 6.0.18로 업그레이드 하시길 권고합니다.

톰캣 5.5.x 대 버전이나 4.1.x 대 버전을 사용하시는 경우 설정을 변경하는 것으로 대응하시기 바랍니다.

context.xml이나 server.xml 설정 파일에서 allowLinking을 비활성화 하거나 URIencoding을 utf8로 설정하지 않으면

이 취약점을 피할 수 있습니다.

안철수 연구소에 계신 bar4mi 님이 발견하셨네요 ^^; 아래 링크를 참고하시기 바랍니다.


출처: http://nchovy.kr/forum/2/article/233



[톰켓정식버그 내용] http://tomcat.apache.org/security-6.html  --> CVE-2008-2938

moderate: Directory traversal CVE-2008-2938

If a context is configured with allowLinking="true" and the connector is configured with URIEncoding="UTF-8" then a malformed request may be used to access arbitrary files on the server.

Affects: 6.0.0-6.0.16

 

반응형

'Server관련 > Sever(OS)' 카테고리의 다른 글

e2fsck를 이용한 리눅스 파일 시스템 복구하기  (0) 2008.09.16
[linux] LVM in rescue mode (복원)  (0) 2008.09.16
[Unix] 좀비 프로세스 대치법  (0) 2008.09.09
[unix]kill signal + tomcat 프로세스 스레드값 만들기 (kill -3 <pid>)  (0) 2008.09.03
[펌]단일 Tomcat 서버에서 가상 호스트 설정법과 각 호스트별 Manager 기능 설정  (0) 2008.04.10
[톰켓6.0]server.xml에 utf-8설정  (0) 2008.04.08
vpn설정시 , Active 디렉토리 DNS주소와 DNS접미사 추가하기  (0) 2008.03.26
nslookup으로 메일서버정보 보기  (0) 2008.03.26
도움이 되셨다면 하트모양의 "♡ 공감"을 눌러주시면 큰 격려가 됩니다.
(로그인하지 않으셔도 가능)

'Server관련/Sever(OS)'의 다른글

  • 현재글아파치 톰캣 디렉터리 열람 취약점

관련글

댓글

티스토리툴바