반응형
Apache Tomcat 보안 이슈는 주로 다음 3가지 영역이 핵심입니다.
- 인증 우회
- WebSocket/HTTP2 처리 문제
- AJP 및 보안 설정 오류
특히 2026년 5월 공개된 취약점들이 꽤 중요합니다.
가장 중요한 최근 Tomcat 취약점
1. CVE-2026-43515 — Security Constraint 우회
영향도: Moderate
영향 버전:
- Tomcat 9 ≤ 9.0.117
- Tomcat 10 ≤ 10.1.54
- Tomcat 11 ≤ 11.0.21
이 취약점은:
<security-constraint>설정이 여러 개 있을 때 일부 HTTP Method 제한이 제대로 적용되지 않는 문제입니다.
즉:
- GET 차단 의도였는데 우회 가능
- 특정 URL 패턴 인증 정책 일부 무시 가능
같은 문제가 발생할 수 있습니다.
위험한 이유
기업 내부에서:
- 관리자 URL
- REST API
- Actuator
- 업로드 API
등을 web.xml 기반으로 막아두는 경우가 많기 때문입니다.
패치 버전
- 9.0.118+
- 10.1.55+
- 11.0.22+
2. CVE-2026-43512 — DIGEST 인증 우회
영향도: Moderate
특정 DIGEST 인증 설정 시:
- 존재하지 않는 사용자라도
- password=null
값을 사용하면 인증될 수 있는 문제입니다.
영향:
- 내부 관리자 페이지 접근 가능성
- Legacy 인증 시스템 위험
특히 위험한 환경
<login-config>
<auth-method>DIGEST</auth-method>
</login-config>현재 DIGEST 인증은 거의 deprecated 수준이라:
- BASIC + HTTPS
- OAuth2
- SSO
- Keycloak
전환 권장됩니다.
3. CVE-2026-42498 — WebSocket 인증 헤더 노출
영향도: Low~Moderate
WebSocket redirect 발생 시:
- Authorization Header가
- 다른 호스트로 전달될 수 있는 문제입니다.
영향:
- 인증 토큰 유출
- 내부 API credential 노출 가능
특히:
- Reverse Proxy
- WebSocket Gateway
- Kubernetes ingress
환경에서 주의해야 합니다.
4. CVE-2026-41293 — HTTP/2 헤더 검증 미흡
영향도: Low
Tomcat이 HTTP/2 헤더를 충분히 검증하지 않아:
- 비정상 헤더 처리
- 애플리케이션 오동작
- 일부 우회 가능성
이 보고되었습니다.
특히:
- Spring Boot
- REST API
- Gateway
조합에서 영향 가능성이 있습니다.
5. WebDAV DoS 취약점
CVE-2026-41284
WebDAV 사용 시:
- LOCK / PROPFIND 요청 body 제한 부재
- 메모리 사용 증가
- 서비스 장애 가능
문제가 있습니다.
WebDAV 안 쓰면?
대부분 안전합니다.
다만 아래 설정 확인 권장:
<servlet-class>
org.apache.catalina.servlets.WebdavServlet
</servlet-class>운영자 기준 가장 중요한 점검 사항
1순위 — 버전 확인
catalina.sh version또는:
java -jar bootstrap.jar현재 안전 버전:
Major안전 버전
| Tomcat 9 | 9.0.118+ |
| Tomcat 10 | 10.1.55+ |
| Tomcat 11 | 11.0.22+ |
2순위 — DIGEST 인증 제거
검색:
grep -R "DIGEST" conf/발견 시:
- BASIC + HTTPS 전환
- SSO 전환 권장
3순위 — AJP 비활성화
최근 AJP 관련 취약점이 계속 반복되고 있습니다.
안 쓰면:
<!-- 주석 처리 -->
<Connector protocol="AJP/1.3" ... />또는:
secretRequired="true"
address="127.0.0.1"필수입니다.
4순위 — 관리자 앱 제거
운영 서버에서는:
- manager
- host-manager
- examples
- docs
삭제 권장합니다.
rm -rf webapps/manager
rm -rf webapps/examples최근 Tomcat 보안 트렌드
최근 특징은:
분야내용
| HTTP/2 | 취약점 증가 |
| WebSocket | 인증 우회/헤더 노출 증가 |
| Reverse Proxy | Nginx/Ingress 연동 이슈 증가 |
| Legacy 인증 | DIGEST/BASIC 문제 지속 |
| Kubernetes | ingress 연계 취약점 증가 |
특히 Spring Boot 내장 Tomcat 사용하는 경우:
org.apache.tomcat.embed버전도 반드시 확인해야 합니다.
Spring Boot 사용자면 특히 중요
Spring Boot는 내장 Tomcat을 쓰므로:
- Boot 버전이 오래되면
- Tomcat도 같이 취약할 수 있습니다.
예:
Spring Boot내장 Tomcat
| 2.x | Tomcat 9 |
| 3.x | Tomcat 10 |
그래서:
implementation 'org.springframework.boot:spring-boot-starter-web'만 사용 중이어도 영향받을 수 있습니다.