메뉴 바로가기

본문으로 바로가기



정보보호 권고

HOME > 정보센터 > 정보보호 권고

제목
Pivotal Spring framework 보안 취약점 업데이트 권고
작성일 18.04.09
파일첨부 A3-AEGIS-20180409-01[MIDDLE]Pivotal Spring framework 보안 취약점 업데이트 권고.pdf

□ 개요
 o Pivotal
Spring framework의 취약점을 해결한 보안 업데이트 권고
 
□ 주요 내용
 o
조작된 메시지를 broker에게 전송하여 발생하는 원격 코드 실행 취약점(CVE-2018-1270)
 o
조작된 URL을 요청하여 발생하는 디렉토리 탐색 취약점
(CVE-2018-1271)
 o
원격사용자가 요청한 입력값을 변조하여 발생하는 권한상승 취약점
(CVE-2018-1272)

□ 영향을 받는 제품 및 버전

 o Spring Framework
  - 5.0 ~ 5.0.4
버전
  - 4.3 ~ 4.3.14
버전
  -
기타 지원되지 않는 이전 버전(older unsupported versions)
 
□ 해결 방안

 o Spring
공식 홈페이지에서 최신버전으로 업데이트
  - 5.0.5
버전
  - 4.3.15
버전
 
□ 용어 정리
 o STOMP :
텍스트에 기반한 메시징 프로토콜
 o Message broker :
송신자가 메시지 프로토콜을 사용하여 수신자에게 보낸 메시지를 번역하는 프로그램 모듈
 
[
참고사이트]
[1] 
https://pivotal.io/security/cve-2018-1270
[2] 
https://pivotal.io/security/cve-2018-1271
[3] 
https://pivotal.io/security/cve-2018-1272

[4] https://projects.spring.io/spring-framework/
이전글 MS 4월 보안 위협에 따른 정기 보안 업데이트 권고
다음글 MS 보안 위협에 따른 보안 업데이트 권고