콘텐츠로 바로가기 대메뉴로 바로가기

정보화본부
전산정보원 충북대학교 전산정보원입니다.

정보보안 소식

Home > 정보보안 > 정보보안 소식
조회수 : 615 작성일 : 2018.05.17
Pivotal Spring 제품군 취약점 보안권고문 상세보기
Pivotal Spring 제품군 취약점 보안권고문

제목

Pivotal Spring 제품군 취약점 보안권고문

개요

o Spring FrameWork에서 사용되는 모듈 중 하나인 “Spring Data Commons”에서 원격코드 실행 취약점(CVE-2018-1273)이 발견되어 패치가 요구됨[1]

내용

□ 내용

o'Spring Data Commons' 모듈에 포함된 기능 중 'Request Mapper' 처리 함수에입력 값에 대한 검증 부재로 인해 악의적인 코드(시스템 명령 실행 등)가 실행되는 취약점

  

□ 영향받는 제품 및 버전

oSpring Data REST

- v2.6.10 이하 모든 버전 (Ingalls SR10)

- v3.0.5 이하 모든 버전 (Kay SR5)

 

oSpring Data Commons

- v1.13.10 이하 모든 버전 (Ingalls SR10)

- v2.0.5 이하 모든 버전 (Kay SR5)

대책

oSpring 공식 홈페이지에서 최신버전으로 업데이트
- Spring Data Commons 2.0.X 사용자는 2.0.6 이상으로 업데이트
- Spring Data Commons 1.13.X 사용자는 1.13.11 이상으로 업데이트
- Spring Data REST Ingalls SR11 2.6.X 사용자는 2.6.11 이상으로 업데이트
- Spring Data REST Kay SR6 3.0.X 사용자는 3.0.6 이상으로 업데이트

관련사이트

□ 참고사이트
https://pivotal.io/security/cve-2018-1273[1]

□ 패치 관련
https://github.com/spring-projects/spring-data-rest
https://github.com/spring-projects/spring-data-commons