스프링 보안취약점 재문의드립니다.
- 작성자 :
- 이*연
- 작성일 :
- 2018-04-10 10:32:26
- 조회수 :
- 3,240
- 구분 :
- 실행환경
- 진행상태 :
- 완료
Q
=======================================
안녕하십니까, 표준프레임워크센터입니다.
피보탈에서 제공 된 보안 취약점은 표준프레임워크에서 차기버전에 안정화 버전으로 업그레이드 예정입니다.
별도로 스프링 프레임워크/시큐리티에 대한 코어는 업그레이드가 가능하니 업그레이드 절차를 진행하셔도 무방합니다.
감사합니다.
=======================================
https://pivotal.io/security/cve-2018-1270
https://pivotal.io/security/cve-2018-1271
https://pivotal.io/security/cve-2018-1272
전자정부프레임워크 실행환경 최신버전 3.7.0 사용시 스프링 프레임워크 4.2.4버전의 라이브러리를 maven 레파지토리에서 자동으로 가져오는 것으로 알고 있습니다. pom.xml에서 스프링 버전을 따로 지정 할 수 는 없는 것으로 알고 있는데... 업그레이드 절차에 대해서 자세히 알고 싶습니다.
안녕하십니까, 표준프레임워크센터입니다.
피보탈에서 제공 된 보안 취약점은 표준프레임워크에서 차기버전에 안정화 버전으로 업그레이드 예정입니다.
별도로 스프링 프레임워크/시큐리티에 대한 코어는 업그레이드가 가능하니 업그레이드 절차를 진행하셔도 무방합니다.
감사합니다.
=======================================
https://pivotal.io/security/cve-2018-1270
https://pivotal.io/security/cve-2018-1271
https://pivotal.io/security/cve-2018-1272
전자정부프레임워크 실행환경 최신버전 3.7.0 사용시 스프링 프레임워크 4.2.4버전의 라이브러리를 maven 레파지토리에서 자동으로 가져오는 것으로 알고 있습니다. pom.xml에서 스프링 버전을 따로 지정 할 수 는 없는 것으로 알고 있는데... 업그레이드 절차에 대해서 자세히 알고 싶습니다.
A
안녕하십니까, 표준프레임워크센터입니다.
먼저 pom.xml에서 스프링 버전을 변경하는 건 가능하십니다. pom.xml에서 스프링 버전 변경 후 maven clean/maven install을 하신 후
maven repository 쪽에서 버전을 확인해 보시면 변경됨을 아실 수 있을 겁니다.
자세히 말씀드리자면 , 표준프레임워크 pom.xml의 경우 상단에(egovframe 3.7.0 기준)
<properties>
<spring.maven.artifact.version>4.2.4.RELEASE</spring.maven.artifact.version>
<egovframework.rte.version>3.7.0</egovframework.rte.version>
</properties>
와 같이 선언 되어 있으니, <spring.maven.artifact.version>4.2.4.RELEASE</spring.maven.artifact.version> 이 부분을 원하시는 버전으로 변경하셔서 저장 하신 후 maven 구성을 하시면 됩니다.
취약점 3개에 대해 안내 드리겠습니다.
1) CVE-2018-1270: Remote Code Execution with spring-messaging
- 조치
Spring Security WebSocket Support 방식을 쓰지 않고 XML 기반으로 간소화 기능을 제공하기 때문에 해당 취약점은 문제가 되지 않습니다.
2) CVE-2018-1271: Directory Traversal with Spring MVC on Windows
-조치
Spring Security
4.2.x users should update to 4.2.4
4.1.x users should update to 4.1.5
Spring Framework
4.3.x users should update to 4.3.14
사용 중인 스프링 시큐리티를 4.0.3(eGovFrame 3.7.0 기준) -> 4.1.5/4,2,4 업그레이드
스프링 프레임워크를 4.2.4 (eGovFrame 3.7.0 기준) -> 4.3.14 업그레이드
하면 됩니다. 업그레이드 방법은 pom.xml에서 버전을 올리시면 됩니다.
3) CVE-2018-1272: Multipart Content Pollution with Spring Framework
취약점 심각성의 경우 low level로 낮게 발표된 상태지만, 현재 취약점이 5일전에 발견되어 피보탈 쪽에서 업그레이드(버전 마이그레이션)
말고는 제공한 가이드가 없습니다.
2)의 조치와 같게 스프링 프레임워크 버전 4.2.4(eGovFrame 3.7.0기준) -> 4.3.15로 업그레이드 하시면 될 것 같습니다.
역시 pom.xml에서 버전을 업그레이드 하시면 됩니다.
* 2)의 경우 4.3.14로 가이드하나 3)의 경우를 생각해서 4.3.15로 올리시기 바랍니다.
마지막으로 현재 표준프레임워크를 사용하셨더라도, 업무적으로 커스터마이징 되신 부분이 있기 때문에
Spring Framework와 Spring Security 의 업그레이드 시 Dependency에 대한 분석과 설계가 필요할 것 같습니다.
해당 사항 고려하셔서 조치하시기 바랍니다.
감사합니다.
먼저 pom.xml에서 스프링 버전을 변경하는 건 가능하십니다. pom.xml에서 스프링 버전 변경 후 maven clean/maven install을 하신 후
maven repository 쪽에서 버전을 확인해 보시면 변경됨을 아실 수 있을 겁니다.
자세히 말씀드리자면 , 표준프레임워크 pom.xml의 경우 상단에(egovframe 3.7.0 기준)
<properties>
<spring.maven.artifact.version>4.2.4.RELEASE</spring.maven.artifact.version>
<egovframework.rte.version>3.7.0</egovframework.rte.version>
</properties>
와 같이 선언 되어 있으니, <spring.maven.artifact.version>4.2.4.RELEASE</spring.maven.artifact.version> 이 부분을 원하시는 버전으로 변경하셔서 저장 하신 후 maven 구성을 하시면 됩니다.
취약점 3개에 대해 안내 드리겠습니다.
1) CVE-2018-1270: Remote Code Execution with spring-messaging
- 조치
Spring Security WebSocket Support 방식을 쓰지 않고 XML 기반으로 간소화 기능을 제공하기 때문에 해당 취약점은 문제가 되지 않습니다.
2) CVE-2018-1271: Directory Traversal with Spring MVC on Windows
-조치
Spring Security
4.2.x users should update to 4.2.4
4.1.x users should update to 4.1.5
Spring Framework
4.3.x users should update to 4.3.14
사용 중인 스프링 시큐리티를 4.0.3(eGovFrame 3.7.0 기준) -> 4.1.5/4,2,4 업그레이드
스프링 프레임워크를 4.2.4 (eGovFrame 3.7.0 기준) -> 4.3.14 업그레이드
하면 됩니다. 업그레이드 방법은 pom.xml에서 버전을 올리시면 됩니다.
3) CVE-2018-1272: Multipart Content Pollution with Spring Framework
취약점 심각성의 경우 low level로 낮게 발표된 상태지만, 현재 취약점이 5일전에 발견되어 피보탈 쪽에서 업그레이드(버전 마이그레이션)
말고는 제공한 가이드가 없습니다.
2)의 조치와 같게 스프링 프레임워크 버전 4.2.4(eGovFrame 3.7.0기준) -> 4.3.15로 업그레이드 하시면 될 것 같습니다.
역시 pom.xml에서 버전을 업그레이드 하시면 됩니다.
* 2)의 경우 4.3.14로 가이드하나 3)의 경우를 생각해서 4.3.15로 올리시기 바랍니다.
마지막으로 현재 표준프레임워크를 사용하셨더라도, 업무적으로 커스터마이징 되신 부분이 있기 때문에
Spring Framework와 Spring Security 의 업그레이드 시 Dependency에 대한 분석과 설계가 필요할 것 같습니다.
해당 사항 고려하셔서 조치하시기 바랍니다.
감사합니다.