1. 내용
아피치 톰캣의 AJP connector 파일에 있는 read/inclusion의 취약성 뱔견
이 취약점은 인증되지 않은 원격 공격자는 웹 어플리케이션 파일을 읽을 수 있다.
또한, jsp 코드를 업로드 및 실행이 가능하다.
- 해당 버전
톰캣 9 ~ 9.0.31
톰캣 8 ~ 8.5.51
톰캣 7 ~ 7.0.100
2. 업데이트 방법
yum update tomcat
3. 관련 패키지
tomcat-7.0.76-11.el7_7.noarch.rpm
tomcat-admin-webapps-7.0.76-11.el7_7.noarch.rpm
tomcat-docs-webapp-7.0.76-11.el7_7.noarch.rpm
tomcat-el-2.2-api-7.0.76-11.el7_7.noarch.rpm
tomcat-javadoc-7.0.76-11.el7_7.noarch.rpm
tomcat-jsp-2.2-api-7.0.76-11.el7_7.noarch.rpm
tomcat-jsvc-7.0.76-11.el7_7.noarch.rpm
tomcat-lib-7.0.76-11.el7_7.noarch.rpm
tomcat-servlet-3.0-api-7.0.76-11.el7_7.noarch.rpm
tomcat-webapps-7.0.76-11.el7_7.noarch.rpm
4. CVE-ID
CVE-2020-1938
5. 참조
https://access.redhat.com/errata/RHSA-2020:0855