o 아파치 소프트웨어 재단은 Apache Tomcat Jmx에서 발생하는 원격코드 실행 취약점에 대한 보안 업데이트를 발표[1] o 영향 받는 버전의 사용자는 최신 버전으로 업데이트 권고 □ 설명 o Jmx에서 CVE-2016-3427에 대한 패치를 반영하지 않아서 발생하는 취약점 (CVE-2016-8735)[2] ※ Jmx : Java Management eXtension으로 자바 서비스들을 관리하고 모니터링하기 위한
API를 제공하는 기능을 포함한 기술 ※ CVE-2016-3427 : Java SE 8u77, JRockit R28.3.9를 사용할 때 Jmx를 통해 기밀성, 무결성, 가용성에 영향을 줄 수 있는 취약점 □ 해당 시스템 o 영향을 받는 소프트웨어 - Apache Tomcat 9.0.0.M1 ~ 9.0.0.M11 - Apache Tomcat 8.5.0 ~ 8.5.6 - Apache Tomcat 8.0.0.RC1 ~ 8.0.38 - Apache Tomcat 7.0.0 ~ 7.0.72 - Apache Tomcat 6.0.0 ~ 6.0.47
□ 해결 방안 o 영향 받는 소프트웨어 최신 버전 설치 - Apache Tomcat 9.0.0.M13 혹은 이후 버전(Apache Tomcat 9.0.0.M12은
아직 배포되지 않음) - Apache Tomcat 8.5.8 혹은 이후 버전(Apache Tomcat 8.5.7은 아직 배포되지 않음) - Apache Tomcat 8.0.39 혹은 이후 버전 - Apache Tomcat 7.0.73 혹은 이후 버전 - Apache Tomcat 6.0.48 혹은 이후 버전