[보안 이슈] Apache 제품 보안 업데이트 권고

□ 개요
 o Apache 소프트웨어 재단은 소프트웨어에서 발생하는 취약점을 해결한 보안 업데이트 발표 [1]
 o 영향받는 버전을 사용 중인 시스템 사용자는 해결 방안에 따라 최신 버전으로 업데이트 권고

□ 설명
 o Apache Tomcat에서 발생하는 서비스 거부 취약점 (CVE-2024-24549) [1][11][12][13][14]

 o Apache Tomcat에서 발생하는 서비스 거부 취약점 (CVE-2024-23672) [2][11][12][13][14]

 o Apache Tomcat에서 발생하는 민감 정보 노출 취약점 (CVE-2024-21733) [3][11][12]

 o Apache Tomcat에서 발생하는 부적절한 입력 값 검증 취약점 (CVE-2023-46589) [4][11][12][13][14]

 o Apache Tomcat에서 발생하는 부절적한 입력 값 검증 취약점 (CVE-2023-45648) [5][11][12][13][14]

 o Apache Tomcat에서 발생하는 정보 노출 취약점 (CVE-2023-42795) [6][11][12][13][14]

 o Apache Tomcat에서 발생하는 서비스 거부 취약점 (CVE-2023-42794) [7][13][14]

 o Apache Tomcat에서 발생하는 서비스 거부 취약점 (CVE-2023-28709) [8][11][12][13][14]

 o Apache Tomcat에서 발생하는 서비스 거부 취약점 (CVE-2023-24998) [9][12][13][14]

 o Apache Tomcat에서 발생하는 취약한 암호화 통신 취약점 (CVE-2023-28708) [10][11][12][13][14]

□ 영향받는 제품 및 해결 방안

제품명	취약점	영향받는 버전	해결 버전
Apache Tomcat	CVE-2024-24549	11.0.0-M1 부터(포함) ~ 11.0.0-M16 까지(포함) 10.1.0-M1 부터(포함) ~ 10.1.18 까지(포함) 9.0.0-M1 부터(포함) ~ 9.0.85 까지(포함) 8.5.0 부터(포함) ~ 8.5.98 까지(포함)	11.0.0-M17 이상 10.1.19 이상 9.0.86 이상 8.5.99 이상
	CVE-2024-23672
	CVE-2024-21733	9.0.0-M11 부터(포함) ~ 9.0.43 까지(포함) 8.5.7 부터(포함) ~ 8.5.63 까지(포함)	9.0.44 이상 8.5.64 이상
	CVE-2023-46589	11.0.0-M1 부터(포함) ~ 11.0.0-M10 까지(포함) 10.1.0-M1 부터(포함) ~ 10.1.15 까지(포함) 9.0.0-M1 부터(포함) ~ 9.0.82 까지(포함) 8.5.0 부터(포함) ~ 8.5.95 까지(포함)	11.0.0-M11 이상 10.1.16 이상 9.0.83 이상 8.5.96 이상
	CVE-2023-45648	11.0.0-M1 부터(포함) ~ 11.0.0-M11 까지(포함) 10.1.0-M1 부터(포함) ~ 10.1.13 까지(포함) 9.0.0-M1 부터(포함) ~ 9.0.80 까지(포함) 8.5.0 부터(포함) ~ 8.5.93 까지(포함)	11.0.0-M12 이상 10.1.14 이상 9.0.81 이상 8.5.94 이상
	CVE-2023-42795	11.0.0-M1 부터(포함) ~ 11.0.0-M11 까지(포함) 10.1.0-M1 부터(포함) ~ 10.1.13 까지(포함) 9.0.0-M1 부터(포함) ~ 9.0.80 까지(포함) 8.5.0 부터(포함) ~ 8.5.93 까지(포함)	11.0.0-M12 이상 10.1.14 이상 9.0.81 이상 8.5.94 이상
	CVE-2023-42794	9.0.70 부터(포함) ~ 9.0.80 까지(포함) 8.5.85 부터(포함) ~ 8.5.93 까지(포함)	9.0.81 이상 8.5.94 이상
	CVE-2023-28709	11.0.0-M2 부터(포함) ~ 11.0.0-M4 까지(포함) 10.1.5 부터(포함) ~ 10.1.7 까지(포함) 9.0.71 부터(포함) ~ 9.0.73 까지(포함) 8.5.85 부터(포함) ~ 8.5.87 까지(포함)	11.0.0-M5 이상 10.1.8 이상 9.0.74 이상 8.5.88 이상
	CVE-2023-24998	11.0.0-M1 10.1.0-M1 부터(포함) ~ 10.1.4 까지(포함) 9.0.0-M1 부터(포함) ~ 9.0.70 까지(포함) 8.5.0 부터(포함) ~ 8.5.84 까지(포함)	11.0.0-M3 이상 10.1.5 이상 9.0.71 이상 8.5.85 이상
	CVE-2023-28708	11.0.0-M1 부터(포함) ~ 11.0.0-M2 까지(포함) 10.1.0-M1 부터(포함) ~ 10.1.5 까지(포함) 9.0.0-M1 부터(포함) ~ 9.0.71 까지(포함) 8.5.0 부터(포함) ~ 8.5.85 까지(포함)	11.0.0-M3 이상 10.1.6 이상 9.0.72 이상 8.5.86 이상

※ 하단의 참고사이트를 확인하여 업데이트 수행 [11][12][13][14]

□ 기타 문의사항
 o 한국인터넷진흥원 사이버민원센터: 국번없이 118

[참고사이트]

[1] https://lists.apache.org/thread/4c50rmomhbbsdgfjsgwlb51xdwfjdcvg

[2] https://lists.apache.org/thread/cmpswfx6tj4s7x0nxxosvfqs11lvdx2f

[3] https://lists.apache.org/thread/h9bjqdd0odj6lhs2o96qgowcc6hb0cfz

[4] https://lists.apache.org/thread/0rqq6ktozqc42ro8hhxdmmdjm1k1tpxr

[5] https://lists.apache.org/thread/2pv8yz1pyp088tsxfb7ogltk9msk0jdp

[6] https://lists.apache.org/thread/065jfyo583490r9j2v73nhpyxdob56lw

[7] https://lists.apache.org/thread/vvbr2ms7lockj1hlhz5q3wmxb2mwcw82

[8] https://lists.apache.org/thread/7wvxonzwb7k9hx9jt3q33cmy7j97jo3j

[9] https://lists.apache.org/thread/g16kv0xpp272htz107molwbbgdrqrdk1

[10] https://lists.apache.org/thread/hdksc59z3s7tm39x0pp33mtwdrt8qr67

[11] https://tomcat.apache.org/security-11.html

[12] https://tomcat.apache.org/security-10.html

[13] https://tomcat.apache.org/security-9.html

[14] https://tomcat.apache.org/security-8.html

□ 작성 : 침해사고분석단 취약점분석팀