조회 수 869 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부

Spring Java 프레임워크 보안 업데이트 권고



□ 개요
o Spring 보안팀에서 Spring 프레임워크 및 Spring Cloud Function 관련 원격코드 실행 취약점을 해결한 임시조치 방안 및 보안업데이트 권고
o 공격자는 해당 취약점을 이용하여 정상 서비스에 피해를 발생시킬 수 있으므로, 최신 버전으로 업데이트 권고
 
□ 주요 내용
o Spring Core에서 발생하는 원격코드실행 취약점(Spring4Shell 취약점)[1]
o Spring Cloud Function에서 발생하는 원격코드실행 취약점 (CVE-2022-22963)[2]
 
□ 영향을 받는 버전
o Spring4Shell
- 1) JDK 9 이상의 2) Spring 프레임워크 사용하는 경우
※ JDK 8 이하의 경우 취약점의 영향을 받지 않음

o CVE-2022-22963
- Spring Cloud Function 3.1.6 ~ 3.2.2 버전
※ 취약점이 해결된 버전 제외(3.1.7, 3.2.3 업데이트 버전 제외)
 
□ Spring4Shell 버전 확인 방법
o JDK 버전 확인
- “java -version” 명령 입력

o Spring 프레임워크 사용 유무 확인
- 프로젝트가 jar, war 패키지로 돼 있는 경우 zip 확장자로 변경하여 압축풀기
이후 아래와 같이 “spring-beans-.jar”, “spring.jar”, “CachedIntrospectionResuLts.class” 로 검색

find . -name spring-beans*.jar


□ 대응방안
o (Spring4Shell)
- 프로젝트 패키지 아래 해당 전역 클래스 생성 후 재컴파일(테스트 필요)


import org.springwork.core.Ordered;
import org.springwork.core.annotation.Order;
import org.springwork.web.bind.WebDataBinder;
import org.springwork.web.bind.annotation.ControllerAdvice;
import org.springwork.web.bind.annotation.InitBinder;
 
@ControllerAdvice
@Order(10000)
public class BinderControllerAdvice {
@InitBinder
public setAllowedFields(WebDataBinder dataBinder) {
String[] denylist = new String[]{"class.*", "Class.*", "*.class.*", "*.Class.*"};
dataBinder.setDisallowedFields(denylist);
}
}

※ 보안 업데이트가 공지될 경우 업로드 예정
 
o CVE-2022-22963
- 제조사 홈페이지를 통해 최신버전으로 업데이트 적용
· Spring Cloud Function 3.1.7, 3.2.3 버전으로 업데이트[3]
 
참고사이트
[1] 취약점 정보 : https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-work/
[2] 취약점 정보 : https://tanzu.vmware.com/security/cve-2022-22963
[3] 신규버전 다운로드 : https://repo.maven.apache.org/maven2/org/springwork/cloud/spring-cloud-function-context/

 malware.png

 


 


List of Articles
번호 제목 날짜 글쓴이 조회 수
290 Cisco 제품 보안 업데이트 권고 file 2022.04.26 ezclean 361
289 Cisco 제품 보안 업데이트 권고 file 2022.05.25 ezclean 44
288 Cisco 제품 보안 업데이트 권고 file 2022.06.24 ezclean 113
287 Cisco 제품 보안 업데이트 권고 file 2022.07.22 ezclean 198
286 Cisco 제품 보안 업데이트 권고 file 2023.02.16 ezclean 339
285 Cisco 제품 보안 업데이트 권고 file 2022.08.11 ezclean 165
284 Cisco 제품 취약점 보안 업데이트 권고 file 2020.11.10 ezclean 106
283 Cisco 제품 취약점 보안 업데이트 권고 file 2020.11.25 ezclean 92
282 Cisco 제품 취약점 보안 업데이트 권고 file 2020.12.14 ezclean 115
281 Cisco 제품 취약점 보안 업데이트 권고 file 2021.01.19 ezclean 88
280 Cisco 제품 취약점 보안 업데이트 권고 file 2021.05.10 ezclean 81
279 Cisco 제품 취약점 보안 업데이트 권고 file 2021.06.09 ezclean 79
278 Citrix 제품 보안 업데이트 권고 file 2021.11.12 ezclean 46
277 Citrix 제품 보안 업데이트 권고 file 2022.01.14 ezclean 148
276 Citrix 제품 보안 업데이트 권고 file 2022.02.13 ezclean 81
275 Citrix 제품 보안 업데이트 권고 file 2022.04.12 ezclean 87
274 Citrix 제품 보안 업데이트 권고 file 2022.04.19 ezclean 260
273 Citrix 제품 보안 업데이트 권고 file 2022.05.30 ezclean 98
272 Citrix 제품 보안 업데이트 권고 file 2022.06.15 ezclean 39
271 Citrix 제품 보안 업데이트 권고 file 2022.07.15 ezclean 52
Board Pagination Prev 1 2 3 4 5 6 7 8 9 10 ... 19 Next
/ 19
XE Login