티스토리 뷰
log4j 이슈에 이어 Spring Framework도 보안 이슈가 생겼다.
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
여기에 주된 내용은 써있고 요약을 하자면 이렇다.
o Spring Core에서 발생하는 원격코드실행 취약점(CVE-2022-22965)
o Spring Cloud Function에서 발생하는 원격코드실행 취약점 (CVE-2022-22963)
log4j와 같이 원격코드실행 부분에 문제가 있다고 한다.
어제만해도 Spring Core에서 발생하는 원격코드실행 취약점에 대한 부분은 조치사항이 없다고 보면 되었지만 발빠르게 Spring쪽에서 패치를 내 주었다.
Releases · spring-projects/spring-framework
Spring Framework. Contribute to spring-projects/spring-framework development by creating an account on GitHub.
github.com
패치버전인 5.3.18 버전이 Spring github에도 올라오고 오늘 오후 2시경 maven repo에도 등재가 되었다.
대응방안은 다음과 같다.
- CVE-2022-22965(Spring4Shell) -> Spring Framework 5.3.18, 5.2.20 버전으로 업데이트 (jdk 9이상 사용시)
- CVE-2022-22963 -> Spring Cloud Function 3.1.7, 3.2.3 버전으로 업데이트
Spring Framework Version 업데이트 방법은 다음 글을 참조하도록 하자.
끝!
'Framework > Spring' 카테고리의 다른 글
| Spring 6.0, Springboot 3.0 출시일 및 특징 (0) | 2022.05.13 |
|---|---|
| Spring @ConditionalOnProperty 사용법 및 예제 (0) | 2022.04.13 |
| Springboot 에서 Spring Framework version 변경방법 (0) | 2022.04.01 |
| Springboot application.yml 여러개 설정하기 (1) | 2022.03.14 |
| Spring Component에서 static 변수 및 메소드 사용하는 방법 (0) | 2022.01.25 |
댓글