안녕하세요 넥스지입니다.
넥스지 제품은 Spring java Framework 취약점에 해당없음을 안내해 드립니다.
- 넥스지 제품 java Framework 미사용
■ kisa 보호나라 발췌
Spring Java 프레임워크 보안 업데이트 권고(CVE-2022-22965, CVE-2022-22963)
2022-3-31 : Spring4Shell, CVE-2022-22963 취약점 보안 업데이트
2022-4-1 : CVE-2022-22965(Spring4Shell) 취약점 보안 업데이트 추가
□ 주요 내용o Spring Core에서 발생하는 원격코드실행 취약점(CVE-2022-22965)[1]o Spring Cloud Function에서 발생하는 원격코드실행 취약점 (CVE-2022-22963)[2] □ 영향을 받는 버전o CVE-2022-22965(Spring4Shell)- 1) JDK 9 이상의 2) Spring 프레임워크 사용하는 경우- Spring Framework 5.3.0 ~ 5.3.17, 5.2.0 ~ 5.2.19 및 이전 버전※ JDK 8 이하의 경우 취약점의 영향을 받지 않음o CVE-2022-22963- Spring Cloud Function 3.1.6 ~ 3.2.2 버전※ 취약점이 해결된 버전 제외(3.1.7, 3.2.3 업데이트 버전 제외) □ Spring4Shell 버전 확인 방법o JDK 버전 확인- “java -version” 명령 입력o Spring 프레임워크 사용 유무 확인- 프로젝트가 jar, war 패키지로 돼 있는 경우 zip 확장자로 변경하여 압축풀기이후 아래와 같이 “spring-beans-.jar”, “spring.jar”, “CachedIntrospectionResuLts.class” 로 검색 find . -name spring-beans*.jar |
□ 대응방안 KISA 보호나라 보안 공지 사항 참조
고객님의 안전한 네트워크 보안 환경을 유지하기 위해 최선을 다하겠습니다.
감사합니다.