본문 바로가기
주메뉴 바로가기
하단정보 바로가기

KT IDC 로고


고객지원 : 고객의 경쟁력을 가장 소중하게 생각합니다.

olleh 기업고색센터

TEL. 1588-0114

전국 ICC 전화번호 안내


ㆍHOME > 고객센터 > 보안공지

보안공지

Spring Java 프레임워크 보안 업데이트 권고 (Update, 2022.04.01)

  • 등록일2022-04-01
  • 조회수221
  • 파일

2022.04.01: CVE-2022-22965(Spring4Shell) 취약점 보안 업데이트 추가

개요
   o Spring
보안팀에서 Spring 프레임워크 Spring Cloud Function 관련 원격코드 실행 취약점을 해결한 임시조치 방안 보안업데이트 권고
   o
공격자는 해당 취약점을 이용하여 정상 서비스에 피해를 발생시킬 있으므로, 최신 버전으로 업데이트 권고
 
주요 내용
   o Spring Core
에서 발생하는 원격코드실행 취약점(CVE-2022-22965, Spring4Shell 취약점)[1]
   o Spring Cloud Function
에서 발생하는 원격코드실행 취약점 (CVE-2022-22963)[2]
 
영향을 받는 버전
   o CVE-2022-22965 (Spring4Shell)
       - 1) JDK 9
이상의 2) Spring 프레임워크 사용하는 경우
       - Spring Framework 5.3.0 ~ 5.3.17, 5.2.0 ~ 5.2.19 및 이전 버전
     ※ JDK 8 이하의 경우 취약점의 영향을 받지 않음

   o CVE-2022-22963
      - Spring Cloud Function 3.1.6 ~ 3.2.2
버전
    ※ 취약점이 해결된 버전 제외(3.1.7, 3.2.3 업데이트 버전 제외)
 
□ Spring4Shell
버전 확인 방법
   o JDK
버전 확인
      - “java -version”
명령 입력

   o Spring
프레임워크 사용 유무 확인
      -
프로젝트가 jar, war 패키지로 있는 경우 zip 확장자로 변경하여 압축풀기
      이후 아래와 같이 “spring-beans-.jar”, “spring.jar”, “CachedIntrospectionResuLts.class” 검색
 

find . -name spring-beans*.jar

 
대응방안
   ㅇ 제조사 홈페이지를 통해 최신버전으로 업데이트 적용
    제조사 홈페이지에 신규버전이 계속 업데이트되고 있어 확인 후 업데이트 적용 필요

   o CVE-2022-22965 (Spring4Shell)
      - Spring Framework 5.3.18, 5.2.2 버전으로 업데이트[4]

  o CVE-2022-22963
      - Spring Cloud Function 3.1.7, 3.2.3 버전으로 업데이트[3]

  ㅇ 신규 업데이트가 불가능할 경우 아래와 같이 조치 적용
      -  CVE-2022-22965 (Spring4Shell)
      -
프로젝트 패키지 아래 해당 전역 클래스 생성 재컴파일(테스트 필요)

import org.springwork.core.Ordered;
import org.springwork.core.annotation.Order;
import org.springwork.web.bind.WebDataBinder;
import org.springwork.web.bind.annotation.ControllerAdvice;
import org.springwork.web.bind.annotation.InitBinder;
 
@ControllerAdvice
@Order(10000)
public class BinderControllerAdvice {
@InitBinder
public setAllowedFields(WebDataBinder dataBinder) {
String[] denylist = new String[]{"class.*", "Class.*", "*.class.*", "*.Class.*"};
dataBinder.setDisallowedFields(denylist);
}
}

 
기타 문의사항
   o
한국인터넷진흥원 사이버민원센터: 국번없이 118
 
참고사이트
[1]
취약점 정보https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-work/
[2]
취약점 정보https://tanzu.vmware.com/security/cve-2022-22963
[3] 신규버전 다운로드https://repo.maven.apache.org/maven2/org/springwork/cloud/spring-cloud-function-context/
[4] 
취약점 업데이트 정보 : https://spring.io/blog/2022/03/31/spring-framwork-rce-early-annoucement/

목록
이전글 이전글이 없습니다.

하단 정보