조회 수 870 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부

Spring Java 프레임워크 보안 업데이트 권고



□ 개요
o Spring 보안팀에서 Spring 프레임워크 및 Spring Cloud Function 관련 원격코드 실행 취약점을 해결한 임시조치 방안 및 보안업데이트 권고
o 공격자는 해당 취약점을 이용하여 정상 서비스에 피해를 발생시킬 수 있으므로, 최신 버전으로 업데이트 권고
 
□ 주요 내용
o Spring Core에서 발생하는 원격코드실행 취약점(Spring4Shell 취약점)[1]
o Spring Cloud Function에서 발생하는 원격코드실행 취약점 (CVE-2022-22963)[2]
 
□ 영향을 받는 버전
o Spring4Shell
- 1) JDK 9 이상의 2) Spring 프레임워크 사용하는 경우
※ JDK 8 이하의 경우 취약점의 영향을 받지 않음

o CVE-2022-22963
- Spring Cloud Function 3.1.6 ~ 3.2.2 버전
※ 취약점이 해결된 버전 제외(3.1.7, 3.2.3 업데이트 버전 제외)
 
□ Spring4Shell 버전 확인 방법
o JDK 버전 확인
- “java -version” 명령 입력

o Spring 프레임워크 사용 유무 확인
- 프로젝트가 jar, war 패키지로 돼 있는 경우 zip 확장자로 변경하여 압축풀기
이후 아래와 같이 “spring-beans-.jar”, “spring.jar”, “CachedIntrospectionResuLts.class” 로 검색

find . -name spring-beans*.jar


□ 대응방안
o (Spring4Shell)
- 프로젝트 패키지 아래 해당 전역 클래스 생성 후 재컴파일(테스트 필요)


import org.springwork.core.Ordered;
import org.springwork.core.annotation.Order;
import org.springwork.web.bind.WebDataBinder;
import org.springwork.web.bind.annotation.ControllerAdvice;
import org.springwork.web.bind.annotation.InitBinder;
 
@ControllerAdvice
@Order(10000)
public class BinderControllerAdvice {
@InitBinder
public setAllowedFields(WebDataBinder dataBinder) {
String[] denylist = new String[]{"class.*", "Class.*", "*.class.*", "*.Class.*"};
dataBinder.setDisallowedFields(denylist);
}
}

※ 보안 업데이트가 공지될 경우 업로드 예정
 
o CVE-2022-22963
- 제조사 홈페이지를 통해 최신버전으로 업데이트 적용
· Spring Cloud Function 3.1.7, 3.2.3 버전으로 업데이트[3]
 
참고사이트
[1] 취약점 정보 : https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-work/
[2] 취약점 정보 : https://tanzu.vmware.com/security/cve-2022-22963
[3] 신규버전 다운로드 : https://repo.maven.apache.org/maven2/org/springwork/cloud/spring-cloud-function-context/

 malware.png

 


 


List of Articles
번호 제목 날짜 글쓴이 조회 수
65 안드로이드OS 보안 업데이트 권고 file 2022.06.15 ezclean 119
64 리눅스 커널 로컬 권한 상승 취약점 보안 업데이트 권고 file 2022.03.17 ezclean 48
63 리눅스 networkd-dispatcher 취약점 보안 업데이트 권고 file 2022.04.29 ezclean 309
62 구글 Chrome 브라우저 보안 업데이트 권고 file 2022.02.18 ezclean 121
61 구글 Chrome 브라우저 보안 업데이트 권고 file 2022.03.31 ezclean 43
60 구글 Chrome 브라우저 보안 업데이트 권고 file 2022.04.12 ezclean 32
59 구글 Chrome 브라우저 보안 업데이트 권고 file 2022.08.18 ezclean 267
58 ZYXEL 제품 보안 업데이트 권고 file 2022.05.25 ezclean 211
57 ZYXEL 제품 보안 업데이트 권고 file 2022.06.03 ezclean 179
56 Zoom 제품 보안 업데이트 권고 file 2022.05.30 ezclean 76
55 Zoom 제품 보안 업데이트 권고 file 2022.08.18 ezclean 192
54 Windows MSDT 취약점 주의 권고 file 2022.06.03 ezclean 85
53 WatchGuard Fireware 보안 업데이트 권고 file 2022.04.19 ezclean 63
52 VMware 제품 보안 업데이트 권고 file 2022.03.29 ezclean 56
51 Veeam 제품 보안 업데이트 권고 file 2022.03.23 ezclean 48
» Spring Java 프레임워크 보안 업데이트 권고 file 2022.03.31 ezclean 870
49 Sophos 방화벽 취약점 보안 업데이트 권고 file 2022.06.24 ezclean 42
48 SonicWall SMA 제품 보안 업데이트 권고 file 2022.05.25 ezclean 149
47 SAP 제품 취약점 보안 업데이트 권고 file 2022.03.11 ezclean 741
46 Rust 보안 업데이트 권고 file 2022.01.28 ezclean 75
Board Pagination Prev 1 2 3 4 Next
/ 4
XE Login