취약점 관련 문의드립니다.
- 작성자 :
- 박*준
- 작성일 :
- 2019-02-18 15:20:15
- 조회수 :
- 1,551
- 구분 :
- 기타
- 진행상태 :
- 완료
Q
전자정부 3.5.0 기반 CMS를 사용중 입니다.
Spring Framework 취약점 관련 사항입니다.
- Spring Data Common 1.13 to 1.13.10 (Ingalls Sr10)
- Spring Data REST 2.6 to 2.6.10 (Ingalls SR10)
- Spring Data Common 2.0 to 2.0.5 (Kay SR5)
- Spring Data REST 2.6 to 2.6.10 (Kay SR5)
위 부분이 취약하다고 자체 보안팀에서 연락이 왔는데
사용중인 버전에 해당 사항이 있는지 확인 부탁드립니다.
Spring Framework 취약점 관련 사항입니다.
- Spring Data Common 1.13 to 1.13.10 (Ingalls Sr10)
- Spring Data REST 2.6 to 2.6.10 (Ingalls SR10)
- Spring Data Common 2.0 to 2.0.5 (Kay SR5)
- Spring Data REST 2.6 to 2.6.10 (Kay SR5)
위 부분이 취약하다고 자체 보안팀에서 연락이 왔는데
사용중인 버전에 해당 사항이 있는지 확인 부탁드립니다.
A
안녕하세요.
표준프레임워크센터 입니다.
현재 공통컴포넌트를 사용중이시라면
pom.xml에
spring-ldap-core가 등록되어 있어서
Spring Data Common에 의존관계가 정의되어 있을수 있습니다.
spring-ldap-core V2.0.2의 경우
Spring Data Common 1.6에대해 의존성이 있는데요.
1.13 이전버전의 경우 조치대상이 맞을듯 합니다.
가장 쉬운 조치방법은
LDAP 기능이나 관련라이브러리 기능을 사용하지 않는다면
해당 라이브러리와 pom.xml정의를 삭제하면 됩니다.
다른 방법은
pom.xml에서 exclude설정을 할수 있는데요.
다음 설정으로 최근 버전을 가져오도록
조치 할수 있습니다.
<exclusions>
<exclusion>
<groupId>org.springframework</groupId>
<artifactId>spring-beans</artifactId>
</exclusion>
다음 페이지는 Pivotal의 참고할수 있는 관련글입니다.
https://pivotal.io/security/cve-2018-1273
감사합니다.
표준프레임워크센터 입니다.
현재 공통컴포넌트를 사용중이시라면
pom.xml에
spring-ldap-core가 등록되어 있어서
Spring Data Common에 의존관계가 정의되어 있을수 있습니다.
spring-ldap-core V2.0.2의 경우
Spring Data Common 1.6에대해 의존성이 있는데요.
1.13 이전버전의 경우 조치대상이 맞을듯 합니다.
가장 쉬운 조치방법은
LDAP 기능이나 관련라이브러리 기능을 사용하지 않는다면
해당 라이브러리와 pom.xml정의를 삭제하면 됩니다.
다른 방법은
pom.xml에서 exclude설정을 할수 있는데요.
다음 설정으로 최근 버전을 가져오도록
조치 할수 있습니다.
<exclusions>
<exclusion>
<groupId>org.springframework</groupId>
<artifactId>spring-beans</artifactId>
</exclusion>
다음 페이지는 Pivotal의 참고할수 있는 관련글입니다.
https://pivotal.io/security/cve-2018-1273
감사합니다.