Search

[중요] Spring Java 프레임워크 보안 업데이트 권고

안녕하세요.
한국기업보안 유서트 입니다.
Spring Java 프레임워크 보안 업데이트 권고 사항에 대한 안내를 드립니다.
관련된 자세한 사항은 아래를 확인해주세요.
□ 개요
o Spring 보안팀에서 Spring 프레임워크 및 Spring Cloud Function 관련 원격코드 실행 취약점을 해결한 임시조치 방안 및 보안업데이트 권고
o 공격자는 해당 취약점을 이용하여 정상 서비스에 피해를 발생시킬 수 있으므로, 최신 버전으로 업데이트 권고 
□ 주요 내용
o Spring Core에서 발생하는 원격코드실행 취약점(Spring4Shell 취약점)[1]
o Spring Cloud Function에서 발생하는 원격코드실행 취약점 (CVE-2022-22963)[2] 
□ 영향을 받는 버전
o Spring4Shell- 1) JDK 9 이상의 2) Spring 프레임워크 사용하는 경우※ JDK 8 이하의 경우 취약점의 영향을 받지 않음
o CVE-2022-22963- Spring Cloud Function 3.1.6 ~ 3.2.2 버전※ 취약점이 해결된 버전 제외(3.1.7, 3.2.3 업데이트 버전 제외) 
□ Spring4Shell 버전 확인 방법
o JDK 버전 확인- “java -version” 명령 입력
o Spring 프레임워크 사용 유무 확인- 프로젝트가 jar, war 패키지로 돼 있는 경우 zip 확장자로 변경하여 압축풀기이후 아래와 같이 “spring-beans-.jar”, “spring.jar”, “CachedIntrospectionResuLts.class” 로 검색
find . -name spring-beans*.jar
Plain Text
복사
□ 대응방안
o (Spring4Shell)
프로젝트 패키지 아래 해당 전역 클래스 생성 후 재컴파일(테스트 필요)
import org.springwork.core.Ordered; import org.springwork.core.annotation.Order; import org.springwork.web.bind.WebDataBinder; import org.springwork.web.bind.annotation.ControllerAdvice; import org.springwork.web.bind.annotation.InitBinder;  @ControllerAdvice @Order(10000) public class BinderControllerAdvice { @InitBinder public setAllowedFields(WebDataBinder dataBinder) { String[] denylist = new String[]{"class.*", "Class.*", "*.class.*", "*.Class.*"}; dataBinder.setDisallowedFields(denylist); } }
Plain Text
복사
※ 보안 업데이트가 공지될 경우 업로드 예정
 o CVE-2022-22963
- 제조사 홈페이지를 통해 최신버전으로 업데이트 적용
· Spring Cloud Function 3.1.7, 3.2.3 버전으로 업데이트[3] 
참고사이트
[3] 신규버전 다운로드 : https://repo.maven.apache.org/maven2/org/springwork/cloud/spring-cloud-function-context/3.1.7/
감사합니다.