<p>안녕하세요. 개방형 클라우드 플랫폼 센터입니다.<br /> <br /> 현재 PaaS-TA Application Platform에 사용되는 Spring Core 관련하여 보안취약점이 발표되었습니다.<br /> 아래의 내용을 확인하시어 즉시 조치하여 주시기 바랍니다.<br /> <br /> KISA 측에서 2022년 03월 31일자로 Spring4Shell, CVE-2022-22963 취약점 보안 업데이트&nbsp;<br /> KISA 측에서 2022년 04월 01일자로 CVE-2022-22965(Spring4Shell) 취약점 보안 업데이트 추가<br /> KISA 측에서 2021년 04월 06일자로 제조사별 현황 추가<br /> <br /> =======================================<br /> <br /> □ 개요<br /> o Spring 보안팀에서 Spring 프레임워크 및 Spring Cloud Function 관련 원격코드 실행 취약점을 해결한 임시조치 방안 및 보안업데이트 권고<br /> o 공격자는 해당 취약점을 이용하여 정상 서비스에 피해를 발생시킬 수 있으므로, 최신 버전으로 업데이트 권고<br /> ※ 참고 사이트[5]를 확인하여 해당 제품을 이용 중일 경우, 해당 제조사의 권고에 따라 패치 또는 대응 방안 적용<br /> <br /> □ 주요 내용<br /> o Spring Core에서 발생하는 원격코드실행 취약점(CVE-2022-22965)[1]<br /> o Spring Cloud Function에서 발생하는 원격코드실행 취약점 (CVE-2022-22963)[2]<br /> <br /> □ 영향을 받는 버전<br /> o CVE-2022-22965(Spring4Shell)<br /> - 1) JDK 9 이상의 2) Spring 프레임워크 사용하는 경우<br /> - Spring Framework 5.3.0 ~ 5.3.17, 5.2.0 ~ 5.2.19 및 이전 버전<br /> ※ JDK 8 이하의 경우 취약점의 영향을 받지 않음<br /> <br /> o CVE-2022-22963<br /> - Spring Cloud Function 3.1.6 ~ 3.2.2 버전<br /> ※ 취약점이 해결된 버전 제외(3.1.7, 3.2.3 업데이트 버전 제외)<br /> <br /> * PaaS-TA에서 영향을 받는 버전은 다음과 같습니다.&nbsp;<br /> ----------------------------<br /> o paasta-deployment 5.7.0 이하 버전<br /> ----------------------------<br /> <br /> □ 영향을 받는 모듈<br /> o BOSH (UAA)<br /> o PaaS-TA AP Core (UAA)<br /> &nbsp; &nbsp;&nbsp;<br /> □ 해결방안<br /> o passta-deployment 5.7.0 이하 버전 사용 시&nbsp;<br /> &rarr; paasta-deployment 5.7.1 업데이트&nbsp;<br /> 또는&nbsp;<br /> &rarr; UAA 릴리즈 75.18.0-PaaS-TA 적용하여 재배포 (BOSH, PaaS-TA AP)<br /> &nbsp; &nbsp; name: uaa<br /> &nbsp; &nbsp; sha1: bf72b2ac74d8c6df675b5fda7bdf411a9af07036<br /> &nbsp; &nbsp; url: <a href="https://nextcloud.k-paas.org/index.php/s/aGQb6b4Gq7iPDRt/download" target="_blank">https://nextcloud.k-paas.org/index.php/s/aGQb6b4Gq7iPDRt/download</a><br /> &nbsp; &nbsp; version: 75.18.0-PaaS-TA<br /> <br /> 감사합니다.<br /> <br /> [참고사이트]<br /> [1] 취약점 정보 : <a href="https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/" target="_blank">https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/</a><br /> [2] 취약점 정보 : <a href="https://tanzu.vmware.com/security/cve-2022-22963" target="_blank">https://tanzu.vmware.com/security/cve-2022-22963</a><br /> [3] 신규버전 다운로드 : <a href="https://repo.maven.apache.org/maven2/org/springframework/cloud/spring-cloud-function-context/">https://repo.maven.apache.org/maven2/org/springframework/cloud/spring-cloud-function-context/</a><br /> [4] 취약점 업데이트 정보 : <a href="https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement" target="_blank">https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement</a><br /> [5] 제조사별 현황 : <a href="https://github.com/NCSC-NL/spring4shell/tree/main/software" target="_blank">https://github.com/NCSC-NL/spring4shell/tree/main/software</a></p>