Apache Tomcat Jmx와 Firefox 등에 대한 보안 업데이트 권고

[보안뉴스 권 준 기자] 최근 많은 이들이 사용하는 웹 애플리케이션 서버 Apache Tomcat의 Jmx와 오픈소스 웹브라우저인 Firefox, Firefox ESR 및 Thunderbird에서 보안취약점이 발견됐다. 이에 해당 소프트웨어나 웹브라우저를 설치한 사용자들은 신속한 보안업데이트가 요구된다.


먼저 아파트 소프트웨어 재단은 Apache Tomcat Jmx에서 발생하는 원격코드 실행 취약점에 대한 보안 업데이트를 발표했다.

해당 취약점은 Jmx에서 CVE-2016-3427에 대한 패치를 반영하지 않아서 발생하는 취약점(CVE-2016-8735)이다. Jmx(Java Management eXtension)으로 자바 서비스들을 관리하고 모니터링하기 위한 API를 제공하는 기능을 포함한 기술로, 발견된 취약점 CVE-2016-3427은 Java SE 8u77, JRockit R28.3.9를 사용할 때 Jmx를 통해 기밀성·무결성·가용성에 영향을 줄 수 있는 취약점이다.

취약점에 영향을 받는 소프트웨어는 △Apache Tomcat 9.0.0.M1~9.0.0.M11 △Apache Tomcat 8.5.0~8.5.6 △Apache Tomcat 8.0.0.RC1~8.0.38 △Apache Tomcat 7.0.0~7.0.72 △Apache Tomcat 6.0.0~6.0.47로, 해당 소프트웨어들은 △Apache Tomcat 9.0.0.M13 혹은 이후 버전(Apache Tomcat 9.0.0.M12은 아직 배포되지 않음) △Apache Tomcat 8.5.8 혹은 이후 버전(Apache Tomcat 8.5.7은 아직 배포되지 않음) △Apache Tomcat 8.0.39 혹은 이후 버전 △Apache Tomcat 7.0.73 혹은 이후 버전 △Apache Tomcat 6.0.48 혹은 이후 버전으로 업데이트 해야 한다.

해당 취약점에 대한 상세한 내용과 보안 업데이트는 다음 사이트를 참고하면 된다.

[참고사이트]
[1] http://tomcat.apache.org/security-9.html
[2] http://seclists.org/oss-sec/2016/q4/502

이와 함께 모질라 재단에서는 Firefox, Firefox ESR 및 Thunderbird에 대한 보안 업데이트를 발표했다.

해당 취약점은 Firefox, Firefox ESR 및 Thunderbird에서 발생한 SVG 애니메이션 원격 코드 실행 취약점(CVE-2016-9079)으로, 영향을 받는 제품 및 버전인 △Firefox 50.0.2 이전 버전 △Firefox ESR 45.5.1 이전 버전 △Thunderbird 45.5.1 이전 버전은 각각 △Firefox 50.0.2 △Firefox ESR 45.5.1 △ Thunderbird 45.5.1으로 업데이트해야 한다.

보안 업데이트를 위해서는 Firefox를 실행해 메뉴버튼을 클릭 → 도움말 클릭 후 ‘Firfox’ 정보 선택 → Firefox 정보 창이 열리면 자동으로 업데이트를 확인하고 새버전 다운로드 → 다운로드가 완료되고 설치 준비가 완료되면 ‘Firefox를 지금 다시 시작’ 버튼을 클릭 → Firefox 업데이트 과정을 거쳐야 한다. 이러한 방법으로 업데이트가 시작되지 않거나 완료되지 않는다면 최신 Firefox를 다운받아 재설치하는 게 좋다. 참고사이트는 아래와 같다.

[참고사이트]
[1] https://www.mozilla.org/en-US/firefox/50.0.2/releasenotes/

2가지 보안 취약점에 대한 보다 구체적인 사항은 한국인터넷진흥원 인터넷침해대응센터(국번없이 118)로 문의하면 된다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>