반응형
Apache Tomcat의 원격코드실행 취약점(CVE-2020-1938)을 악용할 수 있는 개념증명코드(Proof of concept code, PoC)가 인터넷상에 공개되어 사용자의 보안 강화 필요
관련 이슈 버전
Apache Tomcat
-
9.0.0.M1 ~ 9.0.30 -> 9.0.31 이상 버전 변경
-
8.5.0 ~ 8.5.50 -> 8.5.51 이상 버전 변경
-
7.0.0 ~ 7.0.99 -> 7.0.100 이상 버전 변경
※ 상기 버전은 AJP 커넥터가 기본으로 활성화되어 취약점에 영향 받음
- https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35292
- https://nirsa.tistory.com/158
- http://tomcat.apache.org/security-8.html
Tomcat 8.5.49 -> Tomcat 8.5.51로 변경
라이브러리를 제외한 다른 설정 파일에서는 크게 변경된 점이 없어서 server.xml만 처리해도 별 이슈 없이 작동되는 것 같았다.
apache worker.properties
worker.list=service1
worker.service1.host=127.0.0.1
worker.service1.port=8009
worker.service1.type=ajp13
worker.service1.cache_timeout=600
worker.service1.socket_keepalive=1
worker.service1.socket_timeout=300
# LoadBanancing
worker.service1.lbfactor=1
# Session LB
# worker.service1.sticky_session=true
# ajb port 처리
worker.service1.secret=tomcatsecret #ajp secret secret 값이 없을 경우 403 오류가 떨어지면서 apache에서는 접속이 되나 apache -> tomcat 이 불가
secretRequired의 경우 기본값은 true이므로, 작성을 안해도 되며, apache에 작성했던 secret 값을 requiredSecret에 설정
Tomcat conf/server.xml 수정
<Connector protocol="AJP/1.3"
address="0.0.0.0"
port="8009"
redirectPort="8003"
secretRequired="false"
requiredSecret="true"
secret="tomcatsecret" />
반응형
'FullStack > 41. WEB.WAS' 카테고리의 다른 글
| [TOMCAT] 톰캣을 이용한 세션 공유 설정 (1) | 2020.11.02 |
|---|---|
| [Tomcat] WAS JDBC를 사용한 오라클 이중화 설정 (0) | 2020.10.14 |
| Apache + Tomcat 로드밸런싱 (1) | 2020.01.30 |
| Jenkins Tomcat 배포 (centos) (0) | 2017.11.23 |
| Maven 을 이용한 Tomcat 배포 (0) | 2013.03.07 |
