https://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=66592 

 

KISA 인터넷 보호나라&KrCERT

KISA 인터넷 보호나라&KrCERT

www.boho.or.kr

 

위 링크의 krcert 에서 퍼왔습니다.

 

Spring Java 프레임워크 보안 업데이트 권고 2022.03.31
□ 개요
o Spring 보안팀에서 Spring 프레임워크 및 Spring Cloud Function 관련 원격코드 실행 취약점을 해결한 임시조치 방안 및 보안업데이트 권고
o 공격자는 해당 취약점을 이용하여 정상 서비스에 피해를 발생시킬 수 있으므로, 최신 버전으로 업데이트 권고
 
□ 주요 내용
o Spring Core에서 발생하는 원격코드실행 취약점(Spring4Shell 취약점)[1]
o Spring Cloud Function에서 발생하는 원격코드실행 취약점 (CVE-2022-22963)[2]
 
□ 영향을 받는 버전
o Spring4Shell
- 1) JDK 9 이상의 2) Spring 프레임워크 사용하는 경우
※ JDK 8 이하의 경우 취약점의 영향을 받지 않음

o CVE-2022-22963
- Spring Cloud Function 3.1.6 ~ 3.2.2 버전
※ 취약점이 해결된 버전 제외(3.1.7, 3.2.3 업데이트 버전 제외)
 
□ Spring4Shell 버전 확인 방법
o JDK 버전 확인
- “java -version” 명령 입력

o Spring 프레임워크 사용 유무 확인
- 프로젝트가 jar, war 패키지로 돼 있는 경우 zip 확장자로 변경하여 압축풀기
이후 아래와 같이 “spring-beans-.jar”, “spring.jar”, “CachedIntrospectionResuLts.class” 로 검색

find . -name spring-beans*.jar
  
□ 대응방안
o (Spring4Shell)
- 프로젝트 패키지 아래 해당 전역 클래스 생성 후 재컴파일(테스트 필요)※ 보안 업데이트가 공지될 경우 업로드 예정

import org.springwork.core.Ordered;
import org.springwork.core.annotation.Order;
import org.springwork.web.bind.WebDataBinder;
import org.springwork.web.bind.annotation.ControllerAdvice;
import org.springwork.web.bind.annotation.InitBinder;
 
@ControllerAdvice
@Order(10000)
public class BinderControllerAdvice {
@InitBinder
public setAllowedFields(WebDataBinder dataBinder) {
String[] denylist = new String[]{"class.*", "Class.*", "*.class.*", "*.Class.*"};
dataBinder.setDisallowedFields(denylist);
}
}
 
o CVE-2022-22963
- 제조사 홈페이지를 통해 최신버전으로 업데이트 적용
· Spring Cloud Function 3.1.7, 3.2.3 버전으로 업데이트[3]
 
□ 기타 문의사항
o 한국인터넷진흥원 사이버민원센터: 국번없이 118
 
참고사이트
[1] 취약점 정보: https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/
[2] 취약점 정보: https://tanzu.vmware.com/security/cve-2022-22963
[3] 신규버전 다운로드: https://repo.maven.apache.org/maven2/org/springframework/cloud/spring-cloud-function-context/3.1.7/

 
□ 작성 : 침해사고분석단 취약점분석팀

 

'etc' 카테고리의 다른 글

Gradle 빌드 시, Could not target platform: Java ... 에러  (0) 2022.03.23
Create dot files/directories on Windows  (0) 2018.07.04

 

Gradle build 시에 "Could not target platform: 'Java SE 11' using tool chain: 'JDK 8 (1.8)' 에러가 발생했다.

Execution failed for task ':compileJava'.
> Could not target platform: 'Java SE 11' using tool chain: 'JDK 8 (1.8)'.

 

Java 11 도 깔려있고, Module 설정에서도 11 이고, 될 것 같은데 안되서 뭐지?뭐지? 했는데

이거 보고 해결했다!

 

https://twofootdog.tistory.com/57

 

IntelliJ "Could not target platform" 에러 해결방법

IntelliJ에서 스프링부트로 개발할 때(빌드툴은 Gradle) 이전 프로젝트는 JDK 8버전을 쓰다가 새로운 프로젝트에서 JDK 11버전으로 올려서 Gradle Build를 수행하니 CompileJava 명령어 수행 중 처음보는 에러

twofootdog.tistory.com

 

 

방법은 Settings > Build, Execution, Deployment > Build Tool > Gradle 에서

Gradle JVM 을 11로 설정해주는 것!

 

위에 해결방법 알려주신분께 감사드립니다 :)

'etc' 카테고리의 다른 글

Spring Java 프레임워크 보안 업데이트 권고  (0) 2022.03.31
Create dot files/directories on Windows  (0) 2018.07.04

https://gist.github.com/ozh/4131243
저작자표시 비영리 동일조건 (새창열림)

'etc' 카테고리의 다른 글

Spring Java 프레임워크 보안 업데이트 권고  (0) 2022.03.31
Gradle 빌드 시, Could not target platform: Java ... 에러  (0) 2022.03.23

+ Recent posts

티스토리툴바