Spring Framework를 사용해 만들어진 프로그램들에서 원격 실행 취약점 발견 돼, 지금 패치하세요

Remote Execution Flaw Threatens Apps Built Using Spring Framework — Patch Now

보안 연구원들이 Spring Development Framework에서 취약점 3개를 발견했습니다. 취약점들 중 하나는 Spring Framework를 이용해 만든 앱들에 원격 공격자들이 임의의 코드를 실행할 수 있도록 허용합니다.

Spring Framework는 자바 기반의 기업 프로그램을 개발할 때 널리 사용 되는 가벼운 오픈소스 프레임워크입니다.

금일 Pivotal는 권고문을 발행해 Spring Framework 버전 5.0 - 5.0.4, 4.3 - 4.3.14 및 지원되지 않는 구버전에서 발견 된 취약점 3개에 대한 내용을 아래와 같이 밝혔습니다.

spring 메시징의 원격 코드 실행 취약점 (CVE-2018-1270)

윈도우 Spring MVC의 디렉토리 접근 공격 (CVE-2018-1271)

Spring 프레임워크의 다중 컨텐츠 오염 (CVE-2018-1272)

취약한 Spring Framework 버전들은 ‘spring-messaging’ 모듈을 통해 WebSocket 엔드포인트로 인메모리 STOMP 브로커와 함께 STOMP 클라이언트를 노출 시킵니다. 이로써 공격자가 악의적으로 작성 된 메시지를 브로커에게 보내 원격 코드 실행 공격 (CVE-2018-1270)으로 이어질 수 있습니다.

회사는 “Spring Security에서 제공하는 것과 같은 메시지 인증 및 승인을 사용하면, 이 어플리케이션을 사용하도록 허가 된 사용자들만 영향을 받도록 해 취약점 노출을 제한시킬 수 있습니다.”고 덧붙였습니다.

두 번쨰 버그 (CVE-2018-1271)는 Spring의 웹 모델-뷰-컨트롤러(MVC)에 존재합니다.

이 버그는 윈도우의 파일 시스템에서 정적 자원(예: CSS, JS, 이미지들)을 제공하도록 설정 된 경우 공격자들이 디렉토리 접근 공격을 실행하고 제한 된 경로에 접근할 수 있도록 허용합니다.

이 취약점은 컨텐츠를 제공하는데 Windows를 사용하고 있지 않다면 영향을 받지 않습니다. 또한 파일 시스템에서 파일을 제공하지 않거나 Tomcat/WildFly를 서버로 사용해 이 취약점을 피할 수 있습니다.

Pivotal은 Spring Framework 5.0.5와 4.3.15를 공개해 위 취약점 3개를 모두 수정했습니다. 따라서 개발자와 관리자들은 즉시 소프트웨어를 최신으로 업그레이드 하기를 권장드립니다.

출처 :

https://thehackernews.com/2018/04/spring-framework-hacking.html

https://spring.io/blog/2018/04/05/multiple-cve-reports-published-for-the-spring-framework