개요: CVE-2024-56337로 식별된 새로운 취약점이 Apache Tomcat에서 발견되었습니다. 이 취약점은 원격 코드 실행(RCE) 취약점 입니다.

영향을 받는 버전:

• Apache Tomcat 11.0.0-M1 ~ 11.0.1
• Apache Tomcat 10.1.0-M1 ~ 10.1.33
• Apache Tomcat 9.0.M1 ~ 9.0.97

설명: Apache Tomcat의 Time-of-Use (TOCTOU) 레이스 상태 취약성. 이 취약점은 Apache Tomcat의 특정 버전에서 HTTP 요청 처리 과정의 결함으로 인해 발생합니다.
        공격자가 특별히 조작된 HTTP 요청을 서버에 보내면 서버 측에서 코드 실행이 가능해집니다. 

영향:

• 심각도: 중간
• 잠재적 결과: 원격 코드 실행이 가능하기 때문에 서버의 완전한 통제권을 획득할 수 있는 위험이 있습니다.

해결책:
- 이 취약점을 해결하려면 다음 버전으로 업그레이드하는 것이 권장 됩니다:

• Apache Tomcat 11.0.2 이상
• Apache Tomcat 10.1.34 이상
• Apache Tomcat 9.0.98 이상
  

- 기본 서블릿 쓰기가 활성화된 대소문자 구분 파일 시스템에서 Tomcat을 실행하는 사용자는 CVE-2024-50379를 완전히 완화하기 위해
  추가 구성이 필요할 수 있습니다. 

• Java 21에서 실행 중: 추가 구성이 필요하지 않습니다. (시스템 속성과 문제 캐시가 제거됨)
• Java 8, 11, 17에서 실행 중: 시스템 속성 sun.io.useCanonCaches를 false로 설정 합니다.

참고 링크: 

보안 취약점 정보 포털