자바 9 jre9 이상에서 스프링프레임워크 환경에서 제로데이 취약점이 발견되었습니다.
새로운 Spring Java 프레임워크 제로데이, 원격 코드 실행 허용해
New Spring Java framework zero-day allows remote code execution Spring Core Java 프레임워크의 새로운 제로데이 취약점인 'Spring4Shell'이 공개되었습니다. 해당 취약점은 애플리케이션에서 인증되지 않은..
blog.alyac.co.kr
https://tanzu.vmware.com/security/cve-2022-22963
cve-2022-22963 이 그것 인데요
특정 조합에서는 공격자가 post 요청만으로 원격으로 악성 jsp파일을 심을 수있다고 합니다.
2022년 03월 31일 현재 보안패치는 없으며 현재까지 해결책은 자바 9이상의 jvm을
자바 8버전으로 환경으로 바꾸는것입니다.
4월 1일에 보안 취약점 패치되었습니다.
스프링 부트 2.5.12/2.6.6버전, 스프링 5.2.20/ 5.3.18 버전으로 업데이트해야됩니다.
패치된 톰캣 버전 10.0.20/ 9.0.62 / 8.5.78
-----
이것 때문에 gcp에 올렸던 jre11 + 스프링에서 jre8로 바꿨네요
자바8버전에서도 취약점이 나올 수는있겠지만 우선 조치를 해봅니다.
'스프링프레임워크, 자바' 카테고리의 다른 글
| http 응답 BAD REQUEST도 상태코드 200이 뜰때. (0) | 2020.09.05 |
|---|---|
| 스프링 - 컨트롤러 Missing URI template variable for method parameter (2) | 2019.08.17 |