Spring Java 프레임워크 보안 취약점(CVE-2022-22965, CVE-2022-22963)

□ 개요
o Spring 보안팀에서 Spring 프레임워크 및 Spring Cloud Function 관련 원격코드 실행 취약점을 해결한 임시조치 방안 및 보안업데이트 권고
o 공격자는 해당 취약점을 이용하여 정상 서비스에 피해를 발생시킬 수 있으므로, 최신 버전으로 업데이트 권고

□ 주요 내용
o Spring Core에서 발생하는 원격코드실행 취약점(CVE-2022-22965)[1]
o Spring Cloud Function에서 발생하는 원격코드실행 취약점 (CVE-2022-22963)[2]

□ 영향을 받는 버전
o CVE-2022-22965(Spring4Shell)
- JDK 9 이상의 2) Spring 프레임워크 사용하는 경우
- Spring Framework 5.3.0 ~ 5.3.17, 5.2.0 ~ 5.2.19 및 이전 버전
※ JDK 8 이하의 경우 취약점의 영향을 받지 않음

o CVE-2022-22963
- Spring Cloud Function 3.1.6 ~ 3.2.2 버전
※ 취약점이 해결된 버전 제외(3.1.7, 3.2.3 업데이트 버전 제외)

□ 영향을 받는 조건
o JDK 버전 9 이상
o 애플리케이션 제공을 위한 Apache Tomcat
o Spring Framework 5.3.0 ~ 5.3.17 및 5.2.0 ~ 5.2.19 이하 버전
o WAR 파일로 빌드된 애플리케이션
※ 모두 해당되어야 함

□ 버전확인 방법
o "java-version”명령을 통해 확인 가능

□ 패치 방법
o Spring Framework 5.3.18 버전으로 업데이트
o Spring Framework 5.2.20 버전으로 업데이트

□ 소프트캠프 솔루션 영향도 검토 결과
o 소프트캠프의 솔루션은 Spring Java 프레임워크 원격코드실행 취약점(CVE-2022-22965)에 해당하지 않습니다.

□ 참고사이트
[1] 취약점 정보 : https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/
[2] 취약점 정보 : https://tanzu.vmware.com/security/cve-2022-22963
[3] 취약점 업데이트 정보 : https://spring.io/blog/2021/10/14/spring-framework-5-3-11-and-5-2-18-available-now