KISA)Spring Java 프레임워크 보안 업데이트 권고
출처 | https://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=66592 |
---|
앞서 오전에 설명드린 Spring4shell 취약점에 대해서 Kisa에서도 보안공지를 업데이트했습니다.
업데이트도 나온듯하니 내용참고하시면 되겠습니다.
□ 개요 o Spring 보안팀에서 Spring 프레임워크 및 Spring Cloud Function 관련 원격코드 실행 취약점을 해결한 임시조치 방안 및 보안업데이트 권고 o 공격자는 해당 취약점을 이용하여 정상 서비스에 피해를 발생시킬 수 있으므로, 최신 버전으로 업데이트 권고 □ 주요 내용 o Spring Core에서 발생하는 원격코드실행 취약점(Spring4Shell 취약점)[1] o Spring Cloud Function에서 발생하는 원격코드실행 취약점 (CVE-2022-22963)[2] □ 영향을 받는 버전 o Spring4Shell - 1) JDK 9 이상의 2) Spring 프레임워크 사용하는 경우 ※ JDK 8 이하의 경우 취약점의 영향을 받지 않음 o CVE-2022-22963 - Spring Cloud Function 3.1.6 ~ 3.2.2 버전 ※ 취약점이 해결된 버전 제외(3.1.7, 3.2.3 업데이트 버전 제외) □ Spring4Shell 버전 확인 방법 o JDK 버전 확인 - “java -version” 명령 입력 o Spring 프레임워크 사용 유무 확인 - 프로젝트가 jar, war 패키지로 돼 있는 경우 zip 확장자로 변경하여 압축풀기 이후 아래와 같이 “spring-beans-.jar”, “spring.jar”, “CachedIntrospectionResuLts.class” 로 검색
□ 대응방안 o (Spring4Shell) - 프로젝트 패키지 아래 해당 전역 클래스 생성 후 재컴파일(테스트 필요)
o CVE-2022-22963 - 제조사 홈페이지를 통해 최신버전으로 업데이트 적용 · Spring Cloud Function 3.1.7, 3.2.3 버전으로 업데이트[3] □ 기타 문의사항 o 한국인터넷진흥원 사이버민원센터: 국번없이 118 참고사이트 [1] 취약점 정보 : https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-work/ [2] 취약점 정보 : https://tanzu.vmware.com/security/cve-2022-22963 [3] 신규버전 다운로드 : https://repo.maven.apache.org/maven2/org/springwork/cloud/spring-cloud-function-context/ □ 작성 : 침해사고분석단 취약점분석팀 |