CVE-2022-40149 에 대한 문의
- 작성자 :
- 박*기
- 작성일 :
- 2024-04-08 16:22:28
- 조회수 :
- 208
- 구분 :
- 실행환경 / 3.10
- 진행상태 :
- 완료
Q
오픈소스 취약점 분석을 통해 jettison 1.2에 대한 CVE 패치 확인을 요청 받았습니다.
관련하여 아래와 같이 문의 드립니다.
전자정보프레임워크 3.10내에는 spring batch 3.0.10(https://mvnrepository.com/artifact/org.springframework.batch/spring-batch-core/3.0.10.RELEASE)이 포함 되어 있으며, spring batch 3.0.10 내에는 jettison 1.2 버젼이 포함 되어 있는 것으로 보입니다.
jettison 1.2 에 대한 아래와 같은 CVSS 7.0 이상의 CVE 가 존재합니다.
이것에 대한 보안 패치를 진행이 필요한지? 또한 패치 방법은 무엇인지 문의 드립니다.
CVE-2022-45693
CVE-2022-45685
CVE-2022-40150
CVE-2022-40149
감사합니다.
관련하여 아래와 같이 문의 드립니다.
전자정보프레임워크 3.10내에는 spring batch 3.0.10(https://mvnrepository.com/artifact/org.springframework.batch/spring-batch-core/3.0.10.RELEASE)이 포함 되어 있으며, spring batch 3.0.10 내에는 jettison 1.2 버젼이 포함 되어 있는 것으로 보입니다.
jettison 1.2 에 대한 아래와 같은 CVSS 7.0 이상의 CVE 가 존재합니다.
이것에 대한 보안 패치를 진행이 필요한지? 또한 패치 방법은 무엇인지 문의 드립니다.
CVE-2022-45693
CVE-2022-45685
CVE-2022-40150
CVE-2022-40149
감사합니다.
환경정보
-
- OS 정보 :
- 표준프레임워크 버전 :
- JDK(JRE) 정보 :
- WAS 정보 :
- DB 정보 :
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크센터입니다.
말씀하신대로 jettison 1.2버전은
Spring batch 3.0.10에 포함되어 있습니다만,
3.0.10이 Spring batch에서 3.X 버전의 가장 마지막 버전이며
동일 버전대의 업그레이드는 불가능 합니다.
jettison 라이브러리에 대해 개별적으로 업그레이드 또는 exclude 처리를 시도 할수 있겠으나
센터에서 확인된 사항은 없습니다.
다른 대안으로
표준프레임워크 v4.2에서는
spring batch core 4.3.8이 적용 되었고
jettison 라이브러리 의존성이 optional로 변경되어 정의 되어 있으므로
이 버전으로 업그레이드를 검토 하실수 있습니다.
실행환경 업그레이드의 경우 다음 가이드에서
https://www.egovframe.go.kr/wiki/doku.php?id=egovframework:%EC%8B%A4%ED%96%89%ED%99%98%EA%B2%BD%EA%B0%80%EC%9D%B4%EB%93%9C
다음 섹션을 참조 하실수 있습니다.
실행환경 업그레이드 가이드 (4.1 -> 4.2)
실행환경 업그레이드 가이드 (4.0 -> 4.1)
실행환경 업그레이드 가이드 (3.10 -> 4.0)
감사합니다.
표준프레임워크센터입니다.
말씀하신대로 jettison 1.2버전은
Spring batch 3.0.10에 포함되어 있습니다만,
3.0.10이 Spring batch에서 3.X 버전의 가장 마지막 버전이며
동일 버전대의 업그레이드는 불가능 합니다.
jettison 라이브러리에 대해 개별적으로 업그레이드 또는 exclude 처리를 시도 할수 있겠으나
센터에서 확인된 사항은 없습니다.
다른 대안으로
표준프레임워크 v4.2에서는
spring batch core 4.3.8이 적용 되었고
jettison 라이브러리 의존성이 optional로 변경되어 정의 되어 있으므로
이 버전으로 업그레이드를 검토 하실수 있습니다.
실행환경 업그레이드의 경우 다음 가이드에서
https://www.egovframe.go.kr/wiki/doku.php?id=egovframework:%EC%8B%A4%ED%96%89%ED%99%98%EA%B2%BD%EA%B0%80%EC%9D%B4%EB%93%9C
다음 섹션을 참조 하실수 있습니다.
실행환경 업그레이드 가이드 (4.1 -> 4.2)
실행환경 업그레이드 가이드 (4.0 -> 4.1)
실행환경 업그레이드 가이드 (3.10 -> 4.0)
감사합니다.