Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보[CVE-2017-12617] Apache Tomcat Put 메소드 파일 업로드 취약점
작성일 2017-10-17 조회 1940

 

개요

최근의 아파치 톰캣의 여러 보안 취약점(CVE-2017-12615/12616/12617등)을 패치했다. 그 중에는 인증받지 않은 공격자가 원격의 대상 서버에 임의의 코드를 실행할 수 있는 취약점도 존재한다. 

아파치 톰캣은 Apache Software Foundation(ASF)에 의해 개발 돼 Java Servlet, JSP (JavaServer Pages), 
Expression Language 및 WebSocket과 같은 여러 Java EE 사양을 사용하는 오픈 소스 웹 서버 및 서블릿 시스템이다.

 

확인내역

이번에 발견된 CVE-2017-12617취약점은 디폴트 서블릿의 readonly 매개 변수를 false로 설정하거나 
readonly 매개 변수를 사용하여 WebDAV 서블릿을 false로 설정하여 발생한다.

<그림 1 -Readonly 가 False 로 설정>

 

이 구성을 사용하면 인증되지 않은 사용자가 파일을 업로드 할 수 있지만 해당 기능은 일반적으로 사용하지 않는다. 그래서 대부분의 시스템은 readonly를 false를 설정하지 않아 영향을 받지 않는다.

 

대응 방안

1) readonly 설정을 False로 하지 않는다. (default : Ture)

2) PUT 메소드 사용을 제한 한다.

3)당사 IPS에서는 아래의 패턴으로 대응 가능

[3148] HTTP PUT Method
[3727] Apache Tomcat DefaultServlet PUT method File Upload
[3728] Apache Tomcat DefaultServlet PUT method File Upload.A
[3738] Apache Tomcat DefaultServlet PUT method File Upload.C
[3739] Apache Tomcat DefaultServlet PUT method File Upload.D

*Snort룰은 시큐어 캐스트에서 확인 가능

 

참조

https://github.com/cyberheartmi9/CVE-2017-12617/blob/master/tomcat-cve-2017-12617.py

 

 

첨부파일 첨부파일이 없습니다.
태그 CVE-2017-12617  Apache  Tomcat  Put  File upload