resource
보안취약점 정보
보안취약점 정보
Commons FileUpload 라이브러리의 불완전한 정리
2024-07-11 15:32
Tomcat /
Medium /
4
CVE-2023-42794: Apache Tomcat 서비스 거부 취약점
개요: CVE-2023-42794로 식별된 새로운 취약점이 Apache Tomcat에서 발견되었습니다. 이 취약점은 특정 버전의 소프트웨어에서 서비스 거부(DoS) 공격을 유발할 수 있습니다.
영향을 받는 버전:
- Apache Tomcat 9.0.70 ~ 9.0.80
- Apache Tomcat 8.5.85 ~ 8.5.93
설명: 이 취약점은 해당 버전의 Tomcat에 포함된 Commons FileUpload 라이브러리의 불완전한 정리 과정에서 비롯됩니다. 특히, 웹 애플리케이션이 업로드된 파일에 대한 스트림을 열고 닫지 않으면 Windows 시스템에서 파일이 디스크에서 삭제되지 않을 수 있습니다. 이는 시간이 지남에 따라 디스크 공간이 소진되어 서비스 거부(DoS)를 유발할 수 있습니다.
영향:
- 심각도: 중간
- 잠재적 결과: 디스크 공간 소진으로 인해 새로운 파일이나 로그를 생성할 수 없게 되어 서비스가 중단됨
해결책: 이 취약점을 해결하려면 다음 버전으로 업그레이드하는 것이 권장됩니다:
- Apache Tomcat 9.0.81 이상
- Apache Tomcat 8.5.94 이상
이 버전들은 정리 과정을 올바르게 처리하여 스트림이 닫히지 않은 경우에도 파일이 적절히 삭제되도록 수정되어 있습니다.
참고 링크: