티스토리 뷰

log4j 이슈에 이어 Spring Framework도 보안 이슈가 생겼다.

KISA 인터넷 보호나라&KrCERT

KISA 인터넷 보호나라&KrCERT

www.boho.or.kr

여기에 주된 내용은 써있고 요약을 하자면 이렇다.

o Spring Core에서 발생하는 원격코드실행 취약점(CVE-2022-22965)
o Spring Cloud Function에서 발생하는 원격코드실행 취약점 (CVE-2022-22963)

log4j와 같이 원격코드실행 부분에 문제가 있다고 한다.

어제만해도 Spring Core에서 발생하는 원격코드실행 취약점에 대한 부분은 조치사항이 없다고 보면 되었지만 발빠르게 Spring쪽에서 패치를 내 주었다.

Releases · spring-projects/spring-framework

Spring Framework. Contribute to spring-projects/spring-framework development by creating an account on GitHub.

github.com

패치버전인 5.3.18 버전이 Spring github에도 올라오고 오늘 오후 2시경 maven repo에도 등재가 되었다.

대응방안은 다음과 같다.

- CVE-2022-22965(Spring4Shell) -> Spring Framework 5.3.18, 5.2.20 버전으로 업데이트 (jdk 9이상 사용시)

- CVE-2022-22963   ->    Spring Cloud Function 3.1.7, 3.2.3 버전으로 업데이트
 
Spring Framework Version 업데이트 방법은 다음 글을 참조하도록 하자. 

끝!

댓글
최근에 올라온 글
최근에 달린 댓글
«   2024/12   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31