□ 개요 o Pivotal社의 Spring framework의
취약점을 해결한 보안 업데이트 권고 □ 주요 내용 o 조작된 메시지를 broker에게 전송하여 발생하는 원격 코드 실행 취약점(CVE-2018-1270) o 조작된 URL을 요청하여 발생하는 디렉토리 탐색 취약점(CVE-2018-1271) o 원격사용자가 요청한 입력값을 변조하여 발생하는 권한상승 취약점(CVE-2018-1272)
□ 영향을 받는 제품 및 버전 o Spring Framework - 5.0 ~ 5.0.4 버전 - 4.3 ~ 4.3.14 버전 - 기타 지원되지 않는 이전 버전(older unsupported versions) □ 해결 방안 o Spring 공식 홈페이지에서 최신버전으로 업데이트 - 5.0.5 버전 - 4.3.15 버전 □ 용어 정리 o STOMP : 텍스트에 기반한 메시징 프로토콜 o Message broker : 송신자가 메시지 프로토콜을 사용하여 수신자에게 보낸 메시지를 번역하는 프로그램 모듈 [참고사이트] [1] https://pivotal.io/security/cve-2018-1270 [2] https://pivotal.io/security/cve-2018-1271 [3] https://pivotal.io/security/cve-2018-1272 [4] https://projects.spring.io/spring-framework/ |