VMware, 제품 다수의 Spring4Shell 취약점 수정

VMware released updates to fix the Spring4Shell vulnerability in multiple products

 

VMware가 Spring4Shell(CVE-2022-22965)로 알려진 치명적인 원격 코드 실행 취약점을 해결하기 위한 보안 업데이트를 공개했습니다.

 

VMware에 따르면, 이 취약점은 많은 클라우드 컴퓨팅 및 가상화 제품에 영향을 미칩니다.

 

Spring4Shell 이슈는 지난 주 공개되었으며, Spring Core Java 프레임워크에 존재합니다.

 

인증되지 않은 원격 공격자가 이 취약점을 악용할 경우 타깃 시스템에서 임의 코드를 실행할 수 있습니다. 해당 프레임워크는 현재 VMware의 자회사인 Spring.io에서 관리하고 있습니다.

 

Spring Framework는 애플리케이션 프레임워크이며, Java 플랫폼용 제어 역전 컨테이너입니다. 이 프레임워크의 핵심 기능은 모든 Java 애플리케이션에서 사용할 수 있지만, Java EE(Enterprise Edition) 플랫폼 위에 웹 애플리케이션을 구축하기 위한 확장 프로그램이 있습니다.

 

이 취약점은 중국의 보안 연구원이 계정(helloexp)을 삭제하기 전 PoC 익스플로잇을 게시해 공개되었습니다.

 

VMware는 이에 취약한 제품의 목록을 발표했으며, Spring4Shell 취약점이 아직까지 패치되지 않은 제품에 대한 대체 해결 방안 또한 공개했습니다.

 

 

<이미지 출처: https://www.vmware.com/security/advisories/VMSA-2022-0010.html>

 

 

"여러 제품이 원격 코드 실행 취약점(CVE-2022-22965)의 영향을 받습니다."

 

"취약한 VMware 제품에 네트워크 네트워크 권한을 가진 공격자는 이 문제를 악용하여 타깃 시스템을 완전히 제어할 수 있습니다."

 

이 취약점은 가상머신용 VMware Tanzu Application Service, VMware Tanzu Operations Manager, VMware Tanzu TKGI(Kubernetes Grid Integrated Edition)에 영향을 미칩니다.

 

VMware는 아직까지 해당 취약점에 대해 조사 중이며, 변경사항이 있을 경우 권고를 업데이트할 것이라 밝혔습니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/129826/security/vmware-secure-spring4shell.html

https://www.vmware.com/security/advisories/VMSA-2022-0010.html

https://github.com/tweedge/springcore-0day-en

https://kb.vmware.com/s/article/88102