Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보[CVE-2016-6816] Apache Tomcat 보안 우회 취약점
작성일 2017-05-10 조회 1329

1. 개요
Apache Tomcat 에서 유효하지 않은 문자에 의해 보안 우회 취약점이 존재한다.
해당 취약점은 HTTP 요청 행을 구문 분석하는 코드에서 잘못된 문자를 허용하여 발생하며, 이를 악용하여 web-cache의 손상, XSS 공격이나, 중요한 정보를 검색 할 수 있다.
공격 성공 시, 보안 우회가 가능하다.
취약버전 : Apache Tomcat 9.0.0.M1 ~ 9.0.0.M11, Apache Tomcat 8.5.0 ~ 8.5.6, Apache Tomcat 8.0.0.RC1 ~ 8.0.38, Apache Tomcat 7.0.0 ~ 7.0.72, Apache Tomcat 6.0.0 ~ 6.0.47
 
2. 확인 내역
해당 취약점에 대한 패치 내역을 확인해 보면
유효하지 않은 문자에 대해 필터링 하는 구문을 추가 한것을 확인 할 수 있다.

[그림1. 패치 내역]
 
공개된 POC를 확인해 보면 "{", "[" 등의 유효하지 않은 문자열을 통해 Apache의 초기 페이지로 우회를 시도한다.

[그림2. POC 내역]

 

3. 정리
본 게시글에서 Apache Tomcat 보안 우회 취약점에 대해 알아보았다.
POC 코드의 경우 해당 취약점을 이용하여 Apache 초기 페이지에 접속하여 정보 획득이 가능하다.
현재 벤더사에서 패치가 되었으므로, 패치를 권고한다.
 
4. 대응 방안
1) Sniper IPS에서는 아래와 같은 패턴으로 대응 가능하다.

[IPS 패턴블럭] : 3472, Apache Tomcat invalid characters Security Bypass
[IPS 패턴블럭] : 3473, Apache Tomcat invalid characters Security Bypass.A

 

2) Snort 패턴은 시큐어캐스트에서 확인 가능하다.

 
5. 참고
http://svn.apache.org/viewvc/tomcat/trunk/java/org/apache/tomcat/util/http/parser/HttpParser.java?r1=1767641&r2=1767640&pathrev=1767641
https://www.exploit-db.com/exploits/41783/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6816

첨부파일 첨부파일이 없습니다.
태그 CVE-2016-6816  Apache Tomcat  보안우회