기본 콘텐츠로 건너뛰기

CVE-2017-21615_CVE-2017-12616

CVE-2017-21615, CVE-2017-21616

취약점 요약

CVE-2017-12615

  • 영향: 하. 기본 설정 상 PUT 메소드를 허용하지 않으며, 보안 표준을 어기는 사항이므로 발견 시 개선 프로세스 진행.
  • 위협: JSP 업로드.
  • 조건: Tomcat Version 7.0.0-7.0.79에서 PUT Method 허용
  • 상세: PUT 메소드로 서버에 존재하지 않는 “test.jsp”파일 요청을 보낼 경우, 서블릿 컨테이너에서 “test.jsp” 내 정의된 PUT 메소드를 수행하려 하므로 404 Error를 반환한다. 그러나 “/”, “%20”, “::DATA”와 같은 특수문자를 제거하여 실제 서버에 JSP 파일이 저장된다.
  • 확인 방법: grep -r 'readonly' [톰캣 디렉터리]/conf/web.xml
    취약 버전에서 readonly를 false로 정의한 경우 취약

테스트를 위한 web.xml 설정

PUT 메소드가 허용된 톰캣 서버에 curl -X PUT http://TEST.com/test.jsp/ -d "test"을 전송할 경우, jsp 혹은 jspx 요청이 아니므로 defaultservlet으로 PUT 메소드를 처리하게 된다. 그런데 java.io.Win32FileSystem의 파일 생성 과정에서 수행하는 파일 명 표준화 시 불필요하게 인식한 특수문자를 제거(‘/’, ‘%20, ‘::$DATA’)함으로써 결과적으로 JSP 파일이 업로드된다.

<init-param>
  <param-name>readonly</param-name>
  <param-value>false</param-value>
</init-param>

CVE-2017-12616

  • 영향: 중. 이미지, CSS 파일, JS 파일이 저장된 외부 디렉터리를 연결하는 설정으로 소스 디렉터리(JSP) 이와 같은 방법으로 연결했을 가능성이 낮다(확인된 톰캣 서버 중 VirtualDirContext를 설정한 서버는 없었음).
  • 위협: JSP 소스코드 노출
  • 조건: Tomcat Version 7.0.0-7.0.80 JSP 파일이 존재하는 외부 디렉터리를 VirtualDirContext로 연결하여 운영
  • 상세: VirtualDirContext로 연결한 외부 디렉터리의 JSP 파일 호출 시 뒤에 “%20”, “::$DATA”와 같은 특수문자를 붙여 호출하면 정적 파일로 인식하여 DefualtSevelt에서 처리하는 데, 처리 과정에서 삽입한 특수문자를 제거하여 JSP 파일을 불러와 소스코드를 반환하게 된다.
  • 확인 방법: grep -r 'VirtualDirContext' [톰캣 디렉터리]/conf/server.xml
    취약 버전에서 VirtualDirContext를 사용하여 JSP 디렉터리를 연결한 경우 취약

테스트를 위한 server.xml 설정

server.xml에 VirtualDirContext로 원격 디렉터리 연결 후 해당 디렉터리에 JSP 파일을 넣어 test.jsp%20, test.jsp::$DATA와 같은 방법으로 호출해본다.

<Context path='/site' docBase="C:\" reloadable="true">
    <Resources className="org.apache.naming.resources.VirtualDirContext" extraResourcePaths="/img=C:\img" />
    <JarScanner scanAllDirectories="true" />
</Context>

참고 URL
[Web安全]CVE-2017-12615/CVE-2017-12616:Tomcat信息泄漏和远程代码执行漏洞分析报告
Tomcat漏洞CVE-2017-12615与CVE-2017-12616分析
Tomcat 远程代码执行漏洞分析(CVE-2017-12615)及补丁 Bypass
https://xianzhi.aliyun.com/forum/read/2136.html
Tomcat ​信息泄露漏洞(CVE-2017-12616 )分析
Tomcat CVE漏洞CVE-2017-12615和12616分析

이 블로그의 인기 게시물

데일 카네기 인간관계론 정리

Remove-Server-Header

응답 메시지 내 서버 버전 정보 제거 1. Apache 1) 조치 방법 “/etc/htpd/conf/httpd.conf” 파일 안에서 1. ServerTokens OS → ServerTokens Prod 2. ServerSignature On → ServerSignature Off 로 변경한 후 아파치를 재시작하면 헤더 값의 아파치 버전 정보 및 OS 정보를 제거할 수 있다. 2) 참고 URL http://zetawiki.com/wiki/CentOS_ 아파치_보안권장설정_ServerTokens_Prod,_ServerSignature_Off 2. IIS 1) 조치 방법 IIS 6.0 urlscan_setup 실행. 설치. \windows\system32\inetsrv\urlscan\urlscan.ini 파일을 열어 다음 수정(RemoveServerHeader=0 을 RemoveServerHeader=1 로 변경) 서비스에서 IIS Admin Service 재시작. IIS 7.0 IIS 관리자를 열고 관리하려는 수준으로 이동합니다. 기능 보기에서 HTTP 응답 헤더를 두 번 클릭합니다. HTTP 응답 헤더 페이지에서 제거할 헤더를 선택합니다. 작업 창에서 제거를 클릭하고 예를 클릭합니다. 2) 참고 URL IIS 6.0 : http://gonnie.tistory.com/entry/iis6- 응답헤더-감추기 IIS 7.0 : https://technet.microsoft.com/ko-kr/library/cc733102(v=ws.10).aspx 3. jetty 1) 조치 방법 “jetty.xml” 파일에서 jetty.send.server.version=false 설정 2) 참고 URL http://attenuated-perspicacity.blogspot.kr/2009/09/jetty-61x-hardening.html 4. Nginx ...

CVE-2017-11352

CVE-2017-11352 ImageMagick 에서 발생했던 CVE-2017-9144 취약점의 미흡한 조치로 인하여 동일한 취약점이 다시 발생되었다. 재 발생된 취약점 CVE-2017-11352은 coders/rle.c 에서 RLE 이미지에 대한 부적절한 EOF 처리가 원인이었다. EOF 란? 파일의 끝(End of File, EOF)으로 데이터 소스로부터 더 이상 읽을 수 있는 데이터가 없음을 나타낸다. ImageMagick Github Page 에 들어가보면 해당 이슈를 상세히 확인할 수 있다. 부적절한 EOF 처리 원인은 소스 코드 수정 시 유사한 코드를 복사 붙여넣기 하는 과정에서 검증해야할 변수 명을 고치지 않고 그대로 적용해서 발생했다. operand=ReadBlobByte(image); if (opcode == EOF) ThrowRLEException(CorruptImageError, "UnexpectedEndOfFile" ); 이로 인해서 조치 완료된 줄 알았던 CVE-2017-9144 취약점은 CVE-2017-11352이라는 새로운 취약점 명으로 다시 조치 되었다. case SkipLinesOp: { operand=ReadBlobByte(image); - if (opcode == EOF) + if (operand == EOF) ThrowRLEException(CorruptImageError, "UnexpectedEndOfFile" ); if (opcode & 0x40 ) { operand=ReadBlobLSBSignedShort(image); - if (opcode == EOF) + if (operand == EO...