Apache Tomcat CVE-2025-31650 취약점 조치

Apache Tomcat CVE-2025-31650 취약점 통합 조치 안내

1️⃣ 취약점 개요

2025년 4월 28일 Apache Software Foundation은 Apache Tomcat 제품군에서 두 가지 보안 취약점(CVE-2025-31650, CVE-2025-31651)이 발견됨에 따라 최신 버전으로의 패치를 공식 권고했습니다.

발생한 주요 취약점
- CVE-2025-31650: 메모리 누수로 인한 서비스 거부(DoS) 취약점
- CVE-2025-31651: 조작된 요청에 의해 Rewrite 룰이 우회되는 취약점

2️⃣ 영향 받는 제품 버전

아래 모든 Tomcat 버전은 취약점 영향을 받으며, 반드시 최신 패치 버전으로 업데이트가 필요합니다.

영향받는 버전	CVE-2025-31650 (메모리 누수 / DoS)	CVE-2025-31651 (Rewrite 우회)
Apache Tomcat 9.0.76 – 9.0.102 Apache Tomcat 9.0.0.M1 – 9.0.102	영향 있음	영향 있음
Apache Tomcat 10.1.10 – 10.1.39 Apache Tomcat 10.1.0-M1 – 10.1.39	영향 있음	영향 있음
Apache Tomcat 11.0.0-M2 – 11.0.5 Apache Tomcat 11.0.0-M1 – 11.0.5	영향 있음	영향 있음

3️⃣ 패치 적용 안내 (공식 권고)

Apache 측은 해당 두 취약점을 해결하기 위해 최신 안정 버전으로의 업데이트를 권장하고 있습니다.

패치된 최신 버전
- Apache Tomcat 9.0.104
- Apache Tomcat 10.1.40
- Apache Tomcat 11.0.6

해당 버전에는 CVE-2025-31650 / CVE-2025-31651에 대한 패치가 포함되어 있으며, 기업 환경에서는 운영 중단 최소화를 위해 테스트 환경에서 충분히 검증 후 배포하는 것이 권장됩니다.

4️⃣ 취약점 상세 설명

📌 CVE-2025-31650 (메모리 누수 → 서비스 거부)

• 특정 요청 패턴이 처리 과정에서 메모리가 해제되지 않음
• 스레드 풀이 잠식되며 응답 속도 저하 → 결국 서비스 중단
• NIO 기반 커넥터에서 더욱 쉽게 재현됨

📌 CVE-2025-31651 (Rewrite 룰 우회 취약점)

• 조작된 URL 또는 헤더 입력으로 Rewrite 문법이 우회됨
• 보안 규칙을 회피하여 민감 리소스 접근 가능성
• WAF/리버스 프록시 환경에서도 우회될 수 있음

5️⃣ 조치 방법

✔ 1) 최신 패치 버전으로 즉시 업데이트

• Tomcat 9.x → 9.0.104
• Tomcat 10.x → 10.1.40
• Tomcat 11.x → 11.0.6

✔ 2) Connector 설정 점검

<Connector 
    port="8080"
    maxThreads="300"
    acceptCount="100"
    connectionTimeout="15000"
    maxKeepAliveRequests="100"
    maxHttpHeaderSize="8192"
/>

✔ 3) Rewrite 룰 점검

• URL 인코딩/디코딩 방식 정상 동작 검증
• 보안 규칙이 우회되지 않는지 테스트
• WAF 룰 강화 — 특수문자 필터링

✔ 4) 로그·스레드 모니터링 강화

• Thread Dump에서 WAITING 증가 여부 체크
• Access Log 비정상 패턴 탐지
• Keep-Alive 비정상 연결 제한

7️⃣ 기본 오류 대응 4단계

1단계 원인 파악
2단계 영향 범위 확인
3단계 임시 조치 적용
4단계 근본 원인 제거

오류 분석 흐름도

• 외부 노출 여부 확인
• 취약 기능/경로 비활성화
• 의심 트래픽 IP·포트 차단
• 로그 및 자원 정상화 확인