CVE-2024-56337 Apache Tomcat 취약점 관련 대응
대상
캐모마일 프레임워크를 사용 중인 모든 프로젝트
임시 조치 방법
- 프로젝트에서
tomcat-embed-core&tomcat-embed-el의존성을 포함하고 있는 모든 pom.xml의 dependencies 최상단에 다음과 같이 설정을 추가한다.
<dependencies>
<!-- 반드시 dependency중 가장 위에 올라와야한다. -->
<dependency>
<groupId>org.apache.tomcat.embed</groupId>
<artifactId>tomcat-embed-core</artifactId>
<version>9.0.98</version>
</dependency>
<dependency>
<groupId>org.apache.tomcat.embed</groupId>
<artifactId>tomcat-embed-el</artifactId>
<version>9.0.98</version>
</dependency>
.
.
.
.
</dependencies> - 캐모마일 2.x
- chamomile-common-starter
- chamomile-admin-service
- chamomile-admin-web
- 캐모마일 3.0.x
- chamomile-menu
- chamomile-commoncode
- chamomile-i18n
- chamomile-notification
- chamomile-web
- chamomile-adapter
- chamomile-security
- chamomile-security-jwt
- chamomile-validation
- chamomile-admin-project
- chamomile-mobile-admin
- chamomile-mobile-server
위 라이브러리를 pom.xml에 포함하고 있는 경우 해당 pom.xml을 업데이트 하면 됩니다.
- jar로 실행하는 경우 새롭게 프로젝트를 빌드하여 배포를 진행한다.
- Apache Tomcat을 WAS로 사용하여 war로 배포하는 경우 해당 톰캣 버전을 최신 버전으로 업데이트 후 배포를 진행한다.
버그 패치 버전
캐모마일에서는 해당 라이브러리 의존성을 변경하여 보안 패치를 진행 하였습니다. 패치내용 참고하여 패치 적용 된 라이브러리로 의존성을 변경해주시면 됩니다.
캐모마일 2.x
- 3.0.0 ➡️ 3.0.1
- 2.4.2 ➡️ 2.4.3
- 2.3.3 ➡️ 2.3.4
캐모마일 3.0.x
- 3.0.0.4 ➡️ 3.0.0.5
- 3.0.1.1 ➡️ 3.0.1.2
- 3.0.2.1 ➡️ 3.0.2.2
- 3.0.3.0 ➡️ 3.0.3.1