hyperion
542
2018-04-09 22:49:48 작성 2018-04-11 09:00:34 수정됨
1
2792

Spring 보안 취약점 발견 및 패치


1. CVE-2018-1270 : spring-messaging모듈 원격 코드 실행 취약점

- 취약대상버전 : Spring 5.0 ~ 5.0.4, Spring 4.3 ~ 4.3.14, 앞에서 언급한 것보다 older 버전

- 패치된 버전 : Spring 5.0.5, Spring 4.3.15, Spring 4.3.16

- 출처 : https://pivotal.io/security/cve-2018-1270

-------------2018-04-11 추가 -------------

2018-04-10 : 패치되었다고 보고된 CVE-2018-1270 이슈가 4.3.x버전의 브랜치에서 완전히 분리가 되지 않아 4.3.16버전으로 다시 릴리즈되었습니다.


2. CVE-2018-1271 : windows에서 Spring MVC 디렉토리 접근 공격 가능

- 내용 : 정적 리소스가 windows의 파일시스템에서 제공될 때, Directory Traversal(=디렉토리 접근 공격)을 일으킬 수 있는 조작된 URL을 사용하여 요청을 보내는 것이 가능함.

- 취약대상버전 : Spring 5.0 ~ 5.0.4, Spring 4.3 ~ 4.3.14, 앞에서 언급한 것보다 older 버전

- 패치된 버전 : Spring 5.0.5, Spring 4.3.15+

- 출처 : https://pivotal.io/security/cve-2018-1271


3. CVE-2018-1272 : Multipart Content 오염

- 내용 : 서버A에서 클라이언트측 multipart입력을 받고 그 입력을 이용해 다른 서버에 multipart 요청을 할 경우 공격에 노출될 수 있음.

- 취약대상버전 : Spring 5.0 ~ 5.0.4, Spring 4.3 ~ 4.3.14, 앞에서 언급한 것보다 older 버전

- 패치된 버전 : Spring 5.0.5, Spring 4.3.15+

- 출처 : https://pivotal.io/security/cve-2018-1272

6
0