Apache Tomcat Native, 클라이언트 인증서로 TLS 인증 가능한 인증우회 취약점 발견 Native 1.1.23~1.1.34와 1.2.0~1.2.16 버전 사용자는 최신 버전으로 업데이트해야

[보안뉴스 김경애 기자] Tomcat Native는 Tomcat이 특정 기능을 사용할 수 있도록 추가된 라이브러리로, 사용자가 추가로 설치해 사용이 가능하다. 이러한 가운데 최근 Apache Tomcat Native에서 신규 취약점이 발견됐다.


이번에 발견된 취약점은 Native 라이브러리에서 OCSP 응답에 대한 검증이 미흡해 해지된 클라이언트 인증서로 TLS 인증이 가능한 인증우회 취약점(CVE-2018-8019, CVE-2018-8020)이다.

OCSP는 온라인 인증서 상태 프로토콜(Online Certificate Status Protocol)의 약자로, 실시간으로 인증서를 검증할 수 있는 프로토콜이다.

영향을 받는 제품은 Native 1.1.23~1.1.34 버전과 1.2.0~1.2.16 버전이다. OCSP를 사용하지 않는 시스템은 영향 받지 않는다.

따라서 취약한 버전을 사용 중인 서버의 담당자는 최신 버전으로 1.2.17 버전으로 업데이트 적용하는 것이 바람직하다.

좀더 자세한 사항은 한국인터넷진흥원 인터넷침해대응센터(국번없이 118)에 문의하면 된다.

[참고사이트]
[1] https://tomcat.apache.org/security-native.html
[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8019
[3] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8020
[4] http://tomcat.apache.org/download-native.cgi
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>