□ 개요 o Spring 보안팀에서 Spring 프레임워크 및 Spring Cloud Function 관련 원격코드 실행 취약점을 해결한 임시조치 방안 및 보안업데이트 권고 o 공격자는 해당 취약점을 이용하여 정상 서비스에 피해를 발생시킬 수 있으므로, 최신 버전으로 업데이트 권고 ※ 참고 사이트[5]를 확인하여 해당 제품을 이용 중일 경우, 해당 제조사의 권고에 따라 패치 또는 대응 방안 적용 □ 주요 내용 o Spring Core에서 발생하는 원격코드실행 취약점(CVE-2022-22965)[1] o Spring Cloud Function에서 발생하는 원격코드실행 취약점 (CVE-2022-22963)[2] □ 영향을 받는 버전 o CVE-2022-22965(Spring4Shell) - 1) JDK 9 이상의 2) Spring 프레임워크 사용하는 경우 - Spring Framework 5.3.0 ~ 5.3.17, 5.2.0 ~ 5.2.19 및 이전 버전 ※ JDK 8 이하의 경우 취약점의 영향을 받지 않음 o CVE-2022-22963 - Spring Cloud Function 3.1.6 ~ 3.2.2 버전 ※ 취약점이 해결된 버전 제외(3.1.7, 3.2.3 업데이트 버전 제외)
참조 : https://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=66592
□ APILUX 제품별 대응
o APILUX API Server
- v2.0.3.10 버전(2022.05.01 릴리즈 예정)에서 Spring Boot 2.5.12, Spring Framework 5.3.18 로 업그레이드 적용 예정
- 패치를 통해 버전 업그레이드 지원 예정
o APILUX API Monitoring
- v2.0.0.0 버전에 Spring Boot 2.5.12, Spring Framework 5.3.18 로 업그레이드 적용 완료
o APILUX Unified Portal
- 현재 버전은 JDK 1.8을 기본으로 지원하고 있어 업데이트 권고 대상에 해당되지 않음
- 차후 JDK 버전 업그레이드 시 Spring Boot 2.5.12 이상, Spring Framework 5.3.18 이상으로 업그레이드 예정