본문 바로가기 사이드메뉴 바로가기 주메뉴 바로가기

GISTian

Creating limitless possibilities through research and education

GIST NEWS
"이번 주말 우리 가족은 과학체험 예약" 2024 대한민국 과학축제 GIST 부스에서 '자율주행 해저탐험'과 '실시간 AI 음성더빙'을! 사진
2024.04.25 15:38:29

"이번 주말 우리 가족은 과학체험 예약" 2024 대한민국 과학축제 GIST 부스에서 '자율주행 해저탐험'과 '실시간 AI 음성더빙'을!
GIST, 해외 연구기관에 대학원 장학생 파견… 연구 집중토록 9개월간 월300만원 지원 사진
2024.04.25 14:48:44

GIST, 해외 연구기관에 대학원 장학생 파견… 연구 집중토록 9개월간 월300만원 지원
GIST NEWS 더보기
Vision
Research
Campus Tour

[보안권고문 권고2022-064_1] Spring 보안팀에서 Spring 프레임워크 및 Spring Cloud Function 관련 원격코드 실행 취약점을 해결한 임시조치 방안 및 보안업데이트 권고

  • 최승윤
  • 등록일 : 2022.04.01
  • 조회수 : 75

보안 권고문

2022-3-31 : Spring4Shell, CVE-2022-22963 취약점 보안 업데이트

2022-4-1 : CVE-2022-22965(Spring4Shell) 취약점 보안 업데이트 추가

개요

o Spring 보안팀에서 Spring 프레임워크 및 Spring Cloud Function 관련 원격코드 실행 취약점을 해결한 임시조치 방안 및 보안업데이트 권고

o 공격자는 해당 취약점을 이용하여 정상 서비스에 피해를 발생시킬 수 있으므로, 최신 버전으로 업데이트 권고

 

주요 내용

o Spring Core에서 발생하는 원격코드실행 취약점(CVE-2022-22965)[1]

o Spring Cloud Function에서 발생하는 원격코드실행 취약점 (CVE-2022-22963)[2]

 

영향을 받는 버전

o CVE-2022-22965(Spring4Shell)

- 1) JDK 9 이상의 2) Spring 프레임워크 사용하는 경우

- Spring Framework 5.3.0 ~ 5.3.17, 5.2.0 ~ 5.2.19 및 이전 버전

JDK 8 이하의 경우 취약점의 영향을 받지 않음

 

o CVE-2022-22963

- Spring Cloud Function 3.1.6 ~ 3.2.2 버전

취약점이 해결된 버전 제외(3.1.7, 3.2.3 업데이트 버전 제외)

 

Spring4Shell 버전 확인 방법

o JDK 버전 확인

- “java -version” 명령 입력

 

o Spring 프레임워크 사용 유무 확인

- 프로젝트가 jar, war 패키지로 돼 있는 경우 zip 확장자로 변경하여 압축풀기

이후 아래와 같이 “spring-beans-.jar”, “spring.jar”, “CachedIntrospectionResuLts.class” 로 검색

find . -name spring-beans*.jar

 

대응 방안

o 제조사 홈페이지를 통해 최신버전으로 업데이트 적용

제조사 홈페이지에 신규버전이 계속 업데이트되고 있어 확인 후 업데이트 적용 필요

- CVE-2022-22965(Spring4Shell)

· Spring Framework 5.3.18, 5.2.20 버전으로 업데이트[4]

- CVE-2022-22963

· Spring Cloud Function 3.1.7, 3.2.3 버전으로 업데이트[3]

 

o 신규 업데이트가 불가능할 경우 아래와 같이 조치 적용

- CVE-2022-22965(Spring4Shell)

· 프로젝트 패키지 아래 해당 전역 클래스 생성 후 재컴파일(테스트 필요)

import org.springwork.core.Ordered;

import org.springwork.core.annotation.Order;

import org.springwork.web.bind.WebDataBinder;

import org.springwork.web.bind.annotation.ControllerAdvice;

import org.springwork.web.bind.annotation.InitBinder;

@ControllerAdvice

@Order(10000)

public class BinderControllerAdvice {

@InitBinder

public setAllowedFields(WebDataBinder dataBinder) {

String[] denylist = new String[]{"class.*", "Class.*", "*.class.*", "*.Class.*"};

dataBinder.setDisallowedFields(denylist);

}

}

 

 

o CVE-2022-22963

- 제조사 홈페이지를 통해 최신버전으로 업데이트 적용

· Spring Cloud Function 3.1.7, 3.2.3 버전으로 업데이트[3]

 

기타 문의사항

정보보안팀(☎5072, cert@gist.ac.kr)

 

참고사이트

[1] 취약점 정보 : https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-work/

[2] 취약점 정보 : https://tanzu.vmware.com/security/cve-2022-22963

[3] 신규버전 다운로드 : https://repo.maven.apache.org/maven2/org/springframework/cloud/spring-cloud-function-context/

[4] 취약점 업데이트 정보 :

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

https://github.com/spring-projects/spring-framework/releases/tag/v5.3.18

https://github.com/spring-projects/spring-framework/releases/tag/v5.2.20.RELEASE


정보보호최고책임자(학술정보처장)


수정 답변 쓰기 삭제 목록