조회 수 870 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부

Spring Java 프레임워크 보안 업데이트 권고



□ 개요
o Spring 보안팀에서 Spring 프레임워크 및 Spring Cloud Function 관련 원격코드 실행 취약점을 해결한 임시조치 방안 및 보안업데이트 권고
o 공격자는 해당 취약점을 이용하여 정상 서비스에 피해를 발생시킬 수 있으므로, 최신 버전으로 업데이트 권고
 
□ 주요 내용
o Spring Core에서 발생하는 원격코드실행 취약점(Spring4Shell 취약점)[1]
o Spring Cloud Function에서 발생하는 원격코드실행 취약점 (CVE-2022-22963)[2]
 
□ 영향을 받는 버전
o Spring4Shell
- 1) JDK 9 이상의 2) Spring 프레임워크 사용하는 경우
※ JDK 8 이하의 경우 취약점의 영향을 받지 않음

o CVE-2022-22963
- Spring Cloud Function 3.1.6 ~ 3.2.2 버전
※ 취약점이 해결된 버전 제외(3.1.7, 3.2.3 업데이트 버전 제외)
 
□ Spring4Shell 버전 확인 방법
o JDK 버전 확인
- “java -version” 명령 입력

o Spring 프레임워크 사용 유무 확인
- 프로젝트가 jar, war 패키지로 돼 있는 경우 zip 확장자로 변경하여 압축풀기
이후 아래와 같이 “spring-beans-.jar”, “spring.jar”, “CachedIntrospectionResuLts.class” 로 검색

find . -name spring-beans*.jar


□ 대응방안
o (Spring4Shell)
- 프로젝트 패키지 아래 해당 전역 클래스 생성 후 재컴파일(테스트 필요)


import org.springwork.core.Ordered;
import org.springwork.core.annotation.Order;
import org.springwork.web.bind.WebDataBinder;
import org.springwork.web.bind.annotation.ControllerAdvice;
import org.springwork.web.bind.annotation.InitBinder;
 
@ControllerAdvice
@Order(10000)
public class BinderControllerAdvice {
@InitBinder
public setAllowedFields(WebDataBinder dataBinder) {
String[] denylist = new String[]{"class.*", "Class.*", "*.class.*", "*.Class.*"};
dataBinder.setDisallowedFields(denylist);
}
}

※ 보안 업데이트가 공지될 경우 업로드 예정
 
o CVE-2022-22963
- 제조사 홈페이지를 통해 최신버전으로 업데이트 적용
· Spring Cloud Function 3.1.7, 3.2.3 버전으로 업데이트[3]
 
참고사이트
[1] 취약점 정보 : https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-work/
[2] 취약점 정보 : https://tanzu.vmware.com/security/cve-2022-22963
[3] 신규버전 다운로드 : https://repo.maven.apache.org/maven2/org/springwork/cloud/spring-cloud-function-context/

 malware.png

 


 


List of Articles
번호 제목 날짜 글쓴이 조회 수
150 Splunk 제품 보안 업데이트 권고 file 2022.06.24 ezclean 141
» Spring Java 프레임워크 보안 업데이트 권고 file 2022.03.31 ezclean 870
148 SuperAntiSpyware 안티멀웨어 프로그램으로 가장하여 설치되는 Kraken 랜섬웨어 file 2018.09.17 ezclean 203
147 VB100 results from 2019-10 file 2019.11.01 ezclean 1886
146 Veeam 제품 보안 업데이트 권고 file 2022.03.23 ezclean 48
145 VMware vCenter 제품 보안 업데이트 권고 file 2021.09.27 ezclean 93
144 VMware vSphere 제품 보안 업데이트 권고 file 2021.02.16 ezclean 105
143 VMware 제품 보안 업데이트 권고 file 2021.11.22 ezclean 49
142 VMware 제품 보안 업데이트 권고 file 2021.09.01 ezclean 106
141 VMware 제품 보안 업데이트 권고 file 2021.12.22 ezclean 72
140 VMware 제품 보안 업데이트 권고 file 2021.05.10 ezclean 81
139 VMware 제품 보안 업데이트 권고 file 2021.05.28 ezclean 95
138 VMware 제품 보안 업데이트 권고 file 2021.06.25 ezclean 83
137 VMware 제품 보안 업데이트 권고 file 2022.02.18 ezclean 139
136 VMware 제품 보안 업데이트 권고 file 2022.03.29 ezclean 56
135 VMware 제품 보안 업데이트 권고 file 2022.04.12 ezclean 82
134 VMware 제품 보안 업데이트 권고 file 2022.05.25 ezclean 51
133 VMware 제품 보안 업데이트 권고 1 file 2023.02.16 ezclean 486
132 VMware 제품 취약점 보안 업데이트 권고 file 2021.04.02 ezclean 87
131 VMware 제품 취약점 보안 업데이트 권고 file 2021.04.06 ezclean 95
Board Pagination Prev 1 ... 7 8 9 10 11 12 13 14 15 16 ... 19 Next
/ 19
XE Login