▷ 개요

l   Pivotal社의 Spring framework의 취약점을 해결한 보안 업데이트 권고

 

▷ 내용

l   조작된 메시지를 broker에게 전송하여 발생하는 원격 코드 실행 취약점(CVE-2018-1270)[1]

l   조작된 URL을 요청하여 발생하는 디렉토리 탐색 취약점(CVE-2018-1271)[2]

l   원격사용자가 요청한 입력값을 변조하여 발생하는 권한상승 취약점(CVE-2018-1272)[3]

 

▷ 영향 받는 제품 및 버전

l   Spring Framework

- 5.0 ~ 5.0.4 버전

- 4.3 ~ 4.3.14 버전

- 기타 지원되지 않는 이전 버전(older unsupported versions)

 

▷ 해결 방안

l   Spring 공식 홈페이지에서 최신버전으로 업데이트[2]
- 5.0.5 버전
- 4.3.15 버전

 

▷ 참고 자료

- https://pivotal.io/security/cve-2018-1270

- https://pivotal.io/security/cve-2018-1271

- https://pivotal.io/security/cve-2018-1272

- https://projects.spring.io/spring-framework/