[공지사항] 넥스지 제품 Spring java Framework 취약점에 해당없음
2022.04.04 00:00- 작성자 관리자
- 조회 3,654
안녕하세요 넥스지입니다.
넥스지 제품은 Spring java Framework 취약점에 해당없음을 안내해 드립니다.
- 넥스지 제품 java Framework 미사용
■ kisa 보호나라 발췌
Spring Java 프레임워크 보안 업데이트 권고(CVE-2022-22965, CVE-2022-22963)
2022-3-31 : Spring4Shell, CVE-2022-22963 취약점 보안 업데이트
2022-4-1 : CVE-2022-22965(Spring4Shell) 취약점 보안 업데이트 추가
2022-4-1 : CVE-2022-22965(Spring4Shell) 취약점 보안 업데이트 추가
□ 주요 내용
o Spring Core에서 발생하는 원격코드실행 취약점(CVE-2022-22965)[1]
o Spring Cloud Function에서 발생하는 원격코드실행 취약점 (CVE-2022-22963)[2]
□ 영향을 받는 버전
o CVE-2022-22965(Spring4Shell)
- 1) JDK 9 이상의 2) Spring 프레임워크 사용하는 경우
- Spring Framework 5.3.0 ~ 5.3.17, 5.2.0 ~ 5.2.19 및 이전 버전
※ JDK 8 이하의 경우 취약점의 영향을 받지 않음
o CVE-2022-22963
- Spring Cloud Function 3.1.6 ~ 3.2.2 버전
※ 취약점이 해결된 버전 제외(3.1.7, 3.2.3 업데이트 버전 제외)
□ Spring4Shell 버전 확인 방법
o JDK 버전 확인
- “java -version” 명령 입력
o Spring 프레임워크 사용 유무 확인
- 프로젝트가 jar, war 패키지로 돼 있는 경우 zip 확장자로 변경하여 압축풀기
이후 아래와 같이 “spring-beans-.jar”, “spring.jar”, “CachedIntrospectionResuLts.class” 로 검색
□ 대응방안
o Spring Core에서 발생하는 원격코드실행 취약점(CVE-2022-22965)[1]
o Spring Cloud Function에서 발생하는 원격코드실행 취약점 (CVE-2022-22963)[2]
□ 영향을 받는 버전
o CVE-2022-22965(Spring4Shell)
- 1) JDK 9 이상의 2) Spring 프레임워크 사용하는 경우
- Spring Framework 5.3.0 ~ 5.3.17, 5.2.0 ~ 5.2.19 및 이전 버전
※ JDK 8 이하의 경우 취약점의 영향을 받지 않음
o CVE-2022-22963
- Spring Cloud Function 3.1.6 ~ 3.2.2 버전
※ 취약점이 해결된 버전 제외(3.1.7, 3.2.3 업데이트 버전 제외)
□ Spring4Shell 버전 확인 방법
o JDK 버전 확인
- “java -version” 명령 입력
o Spring 프레임워크 사용 유무 확인
- 프로젝트가 jar, war 패키지로 돼 있는 경우 zip 확장자로 변경하여 압축풀기
이후 아래와 같이 “spring-beans-.jar”, “spring.jar”, “CachedIntrospectionResuLts.class” 로 검색
| find . -name spring-beans*.jar |
□ 대응방안
KISA 보호나라 보안 공지 사항 참조
고객님의 안전한 네트워크 보안 환경을 유지하기 위해 최선을 다하겠습니다.
감사합니다.
| 다음글 | 주식회사 넥스지 사무실 이전 안내 | 2022-06-24 |
|---|---|---|
| 이전글 | 21기 결산공고 | 2022-03-22 |