OpenSource4 [OpenSource / Apache] 보안 취약점 조치 내용(2026.5.19 기준) Apache HTTP Server(흔히 Apache, httpd) 보안 이슈 중 가장 중요한 건 HTTP/2 기반 원격 코드 실행(RCE) 가능 취약점입니다. 특히 2026년 5월 공개된 Apache 2.4.66 관련 취약점이 현재 가장 위험하게 평가되고 있습니다.가장 위험한 최근 Apache 취약점CVE-2026-23918 — HTTP/2 Double Free (RCE 가능)영향도:High (CVSS 8.8)원격 비인증 공격 가능영향 버전:Apache HTTP Server 2.4.66mod_http2 활성화 환경Apache 공식 보안 공지에서는:“Double Free and possible RCE vulnerability”라고 명시했습니다.핵심 원인:HTTP/2 stream cleanup 과정에서메모리.. 2026. 5. 19. [OpenSource / Tomcat] 보안 취약점 조치 내용(2026.5.19 기준) Apache Tomcat 보안 이슈는 주로 다음 3가지 영역이 핵심입니다.인증 우회WebSocket/HTTP2 처리 문제AJP 및 보안 설정 오류특히 2026년 5월 공개된 취약점들이 꽤 중요합니다.가장 중요한 최근 Tomcat 취약점1. CVE-2026-43515 — Security Constraint 우회영향도: Moderate영향 버전:Tomcat 9 ≤ 9.0.117Tomcat 10 ≤ 10.1.54Tomcat 11 ≤ 11.0.21이 취약점은: 설정이 여러 개 있을 때 일부 HTTP Method 제한이 제대로 적용되지 않는 문제입니다.즉:GET 차단 의도였는데 우회 가능특정 URL 패턴 인증 정책 일부 무시 가능같은 문제가 발생할 수 있습니다.위험한 이유기업 내부에서:관리자 URLREST AP.. 2026. 5. 19. [OS / Linux] 보안 취약점 조치 내용(2026.5.19 기준) Linux 보안 이슈 중에서는 특히 커널(Local Privilege Escalation) 과 OpenSSH 원격 공격 취약점이 가장 크게 주목받고 있습니다.가장 위험한 최근 Linux 취약점1. “Copy Fail” — Linux 커널 권한 상승 취약점CVE: CVE-2026-31431영향도: High (CVSS 7.8)영향 범위:UbuntuRHEL / Rocky / AlmaLinuxSUSEAmazon Linux대부분의 2017년 이후 커널이 취약점은 일반 사용자 권한만 있어도 root 권한 획득이 가능한 문제입니다. 특히 공개 PoC(공격 코드)가 이미 배포됐고 실제 공격 사례도 보고되었습니다.핵심 특징:AF_ALG crypto API 악용page cache 변조 방식 사용컨테이너 환경(Docker/.. 2026. 5. 19. [Redis] 보안취약점 CVE-2025-49844 CVE-2025-49844 — “RediShell”Redis의 내장 Lua 스크립트 엔진에서 Use-After-Free (UAF) 버그가 존재합니다. 인증된 사용자가 악의적으로 조작한 Lua 스크립트를 보내면, Lua 샌드박스를 탈출해 호스트 시스템에서 임의 코드 실행(RCE) 이 가능합니다.이 취약점의 CVSS 점수는 10.0 (최대) 로, 매우 심각한 수준입니다.영향을 받는 버전은 Lua 스크립팅을 포함한 거의 모든 Redis 버전이며, Redis 측에서는 2025년 10월 3일자로 보안 수정 버전을 발표했습니다. 주요 패치된 버전은 예: 6.2.20, 7.2.11, 7.4.6, 8.0.4, 8.2.2 등입니다. 많은 클라우드 환경에서 Redis가 사용되고 있고, 일부는 인증 없이 인터넷에 노출된 경.. 2025. 12. 11. 이전 1 다음 반응형