개요

최근의 아파치 톰캣의 여러 보안 취약점(CVE-2017-12615/12616/12617등)을 패치했다. 그 중에는 인증받지 않은 공격자가 원격의 대상 서버에 임의의 코드를 실행할 수 있는 취약점도 존재한다. 

아파치 톰캣은 Apache Software Foundation(ASF)에 의해 개발 돼 Java Servlet, JSP (JavaServer Pages), 
Expression Language 및 WebSocket과 같은 여러 Java EE 사양을 사용하는 오픈 소스 웹 서버 및 서블릿 시스템이다.

 

확인내역

이번에 발견된 CVE-2017-12617취약점은 디폴트 서블릿의 readonly 매개 변수를 false로 설정하거나 
readonly 매개 변수를 사용하여 WebDAV 서블릿을 false로 설정하여 발생한다.

<그림 1 -Readonly 가 False 로 설정>

 

이 구성을 사용하면 인증되지 않은 사용자가 파일을 업로드 할 수 있지만 해당 기능은 일반적으로 사용하지 않는다. 그래서 대부분의 시스템은 readonly를 false를 설정하지 않아 영향을 받지 않는다.

 

대응 방안

1) readonly 설정을 False로 하지 않는다. (default : Ture)

2) PUT 메소드 사용을 제한 한다.

3)당사 IPS에서는 아래의 패턴으로 대응 가능

*Snort룰은 시큐어 캐스트에서 확인 가능

 

참조

https://github.com/cyberheartmi9/CVE-2017-12617/blob/master/tomcat-cve-2017-12617.py