Spring framework 보안 패치 대상 여부
- 작성자 :
- 개*자
- 작성일 :
- 2018-05-31 16:32:25
- 조회수 :
- 2,404
- 구분 :
- 공통컴포넌트
- 진행상태 :
- 완료
Q
현재 최신 표준프레임워크 버전인 3.7에서 사용 중인 Spring Framework에 대한 보안 업데이트 권고가 kisa 홈페이지에 아래와 같이 공지되어 있는 것 같습니다.
표준 프레임워크에서 사용 중인 Spring Framework가 아래 보안 업데이트 대상인지 여부 및 맞다면 후속 처리방안이 궁금합니다.
--아 래 ---
□ 개요
o Pivotal社의 Spring framework의 취약점을 해결한 보안 업데이트 권고
□ 주요 내용
o 조작된 메시지를 broker에게 전송하여 발생하는 원격 코드 실행 취약점(CVE-2018-1270)[1]
o 조작된 URL을 요청하여 발생하는 디렉토리 탐색 취약점(CVE-2018-1271)[2]
o 원격사용자가 요청한 입력값을 변조하여 발생하는 권한상승 취약점(CVE-2018-1272)[3]
□ 영향을 받는 제품 및 버전
o Spring Framework
- 5.0 ~ 5.0.4 버전
- 4.3 ~ 4.3.15 버전
- 기타 지원되지 않는 이전 버전(older unsupported versions)
□ 해결 방안
o Spring 공식 홈페이지에서 최신버전으로 업데이트[2]
- 5.0.5 버전
- 4.3.16 버전
□ 용어 정리
o STOMP : 텍스트에 기반한 메시징 프로토콜
o Message broker : 송신자가 메시지 프로토콜을 사용하여 수신자에게 보낸 메시지를 번역하는 프로그램 모듈
□ 기타 문의사항
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
표준 프레임워크에서 사용 중인 Spring Framework가 아래 보안 업데이트 대상인지 여부 및 맞다면 후속 처리방안이 궁금합니다.
--아 래 ---
□ 개요
o Pivotal社의 Spring framework의 취약점을 해결한 보안 업데이트 권고
□ 주요 내용
o 조작된 메시지를 broker에게 전송하여 발생하는 원격 코드 실행 취약점(CVE-2018-1270)[1]
o 조작된 URL을 요청하여 발생하는 디렉토리 탐색 취약점(CVE-2018-1271)[2]
o 원격사용자가 요청한 입력값을 변조하여 발생하는 권한상승 취약점(CVE-2018-1272)[3]
□ 영향을 받는 제품 및 버전
o Spring Framework
- 5.0 ~ 5.0.4 버전
- 4.3 ~ 4.3.15 버전
- 기타 지원되지 않는 이전 버전(older unsupported versions)
□ 해결 방안
o Spring 공식 홈페이지에서 최신버전으로 업데이트[2]
- 5.0.5 버전
- 4.3.16 버전
□ 용어 정리
o STOMP : 텍스트에 기반한 메시징 프로토콜
o Message broker : 송신자가 메시지 프로토콜을 사용하여 수신자에게 보낸 메시지를 번역하는 프로그램 모듈
□ 기타 문의사항
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
A
안녕하세요.
전자정부 표준프레임워크센터입니다.
피보탈에서 제공 된 보안 취약점은 표준프레임워크에서 차기버전에 안정화 버전으로 업그레이드 예정입니다.
별도로 스프링 프레임워크/시큐리티에 대한 코어는 업그레이드가 가능하니 업그레이드 절차를 진행하셔도 무방합니다.
1) CVE-2018-1270: Remote Code Execution with spring-messaging
- 조치
Spring Security WebSocket Support 방식을 쓰지 않고 XML 기반으로 간소화 기능을 제공하기 때문에 해당 취약점은 문제가 되지 않습니다.
2) CVE-2018-1271: Directory Traversal with Spring MVC on Windows
-조치
Spring Security
4.2.x users should update to 4.2.4
4.1.x users should update to 4.1.5
Spring Framework
4.3.x users should update to 4.3.14
사용 중인 스프링 시큐리티를 4.0.3(eGovFrame 3.7.0 기준) -> 4.1.5/4,2,4 업그레이드
스프링 프레임워크를 4.2.4 (eGovFrame 3.7.0 기준) -> 4.3.14 업그레이드
하면 됩니다. 업그레이드 방법은 pom.xml에서 버전을 올리시면 됩니다.
3) CVE-2018-1272: Multipart Content Pollution with Spring Framework
2)의 조치와 같게 스프링 프레임워크 버전 4.2.4(eGovFrame 3.7.0기준) -> 4.3.15로 업그레이드 하시면 될 것 같습니다.
역시 pom.xml에서 버전을 업그레이드 하시면 됩니다.
* 2)의 경우 4.3.14로 가이드하나 3)의 경우를 생각해서 4.3.15로 올리시기 바랍니다.
마지막으로 현재 표준프레임워크를 사용하셨더라도, 업무적으로 커스터마이징 되신 부분이 있기 때문에
Spring Framework와 Spring Security 의 업그레이드 시 Dependency에 대한 분석과 설계가 필요할 것 같습니다.
해당 사항 고려하셔서 조치하시기 바랍니다.
감사합니다.
전자정부 표준프레임워크센터입니다.
피보탈에서 제공 된 보안 취약점은 표준프레임워크에서 차기버전에 안정화 버전으로 업그레이드 예정입니다.
별도로 스프링 프레임워크/시큐리티에 대한 코어는 업그레이드가 가능하니 업그레이드 절차를 진행하셔도 무방합니다.
1) CVE-2018-1270: Remote Code Execution with spring-messaging
- 조치
Spring Security WebSocket Support 방식을 쓰지 않고 XML 기반으로 간소화 기능을 제공하기 때문에 해당 취약점은 문제가 되지 않습니다.
2) CVE-2018-1271: Directory Traversal with Spring MVC on Windows
-조치
Spring Security
4.2.x users should update to 4.2.4
4.1.x users should update to 4.1.5
Spring Framework
4.3.x users should update to 4.3.14
사용 중인 스프링 시큐리티를 4.0.3(eGovFrame 3.7.0 기준) -> 4.1.5/4,2,4 업그레이드
스프링 프레임워크를 4.2.4 (eGovFrame 3.7.0 기준) -> 4.3.14 업그레이드
하면 됩니다. 업그레이드 방법은 pom.xml에서 버전을 올리시면 됩니다.
3) CVE-2018-1272: Multipart Content Pollution with Spring Framework
2)의 조치와 같게 스프링 프레임워크 버전 4.2.4(eGovFrame 3.7.0기준) -> 4.3.15로 업그레이드 하시면 될 것 같습니다.
역시 pom.xml에서 버전을 업그레이드 하시면 됩니다.
* 2)의 경우 4.3.14로 가이드하나 3)의 경우를 생각해서 4.3.15로 올리시기 바랍니다.
마지막으로 현재 표준프레임워크를 사용하셨더라도, 업무적으로 커스터마이징 되신 부분이 있기 때문에
Spring Framework와 Spring Security 의 업그레이드 시 Dependency에 대한 분석과 설계가 필요할 것 같습니다.
해당 사항 고려하셔서 조치하시기 바랍니다.
감사합니다.