Spring Framework 보안 업데이트 권고 (CVE-2022-22965, CVE-2022-22963)

Spring Framework 취약점 관련 보안 업데이트 권고 관련 보안 공지가 3월 31일 올라왔다.

https://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=66592 

취약점은 2가지인데 CVE-2022-22965, CVE-2022-22963이다.

CVE-2022-22965 (Spring4Shell)

CVE-2022-22965는 Spring Core에서 발생하는 원격코드 실행 취약점이다.

https://tanzu.vmware.com/security/cve-2022-22965

해당 경우가 발생하는 전제 조건은 다음과 같다.

• JDK 9 or higher
• Apache Tomcat as the Servlet container
• Packaged as WAR
• spring-webmvc or spring-webflux dependency

위 내용 중 Packaged as WAR가 현재 여러 커뮤니티에서 명확하지 않다고 이야기를 하는 것 같다.

war형태로 tomcat에 배포해서 사용하는 형태를 의미하는 것인지, Spring executable jar도 포함되는 것인지에 대한 확인이 필요하다.

Spring 쪽에서 이와 관련한 조기 버전 업데이트를 진행하면서 어떤 경우 보안 취약점 해당 사항인지에 대해 설명한 부분에서 다음과 같이 설명이 되어 있다.

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

• Packaged as a traditional WAR (in contrast to a Spring Boot executable jar).

war 형태 배포가 문제가 되는 것이고 executable jar는 해당 사항이 아닌 듯 보이는데 좀 더 확인이 필요하다.

보안 취약점 대상 버전은 다음과 같다.

• Spring Framework
  • 5.3.0 to 5.3.17
  • 5.2.0 to 5.2.19
  • Older, unsupported versions are also affected

다음 버전으로 업그레이드가 필요하다.

• Spring Framework
  • 5.3.18+
  • 5.2.20+

CVE-2022-22963

CVE-2022-22963은 Spring Cloud Function에서 악의적인 Spring Expression을 사용한 원격 코드 실행 관련 취약점이다.

https://tanzu.vmware.com/security/cve-2022-22963

보안 취약점 대상 버전은 다음과 같다.

• Spring Cloud Function
  • 3.1.6
  • 3.2.2
  • Older, unsupported versions are also affected

다음 버전으로 업그레이드가 필요하다.

• Spring Cloud Function
  • 3.1.7
  • 3.2.3

대상은 Spring Cloud Function 3.16, 3.22 또는 이전 지원되지 않는 버전이며 3.17, 3.23으로 업그레이드가 필요하다.

Spring Framework RCE, Early Announcement

위 두 취약점으로 인해 Spring은 3월 31일 당일 긴급하게 Release 버전을 업데이트했다.

• Spring Boot 2.6.6
• Spring Boot 2.5.12

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

또한 이후 Apache Tomcat도 10.0.20 , 9.0.62 및 8.5.78을 Release 했다. (긴급 대응한 Spring Release 현재 버전엔 포함되어 있지 않음)

https://spring.io/blog/2022/04/01/spring-framework-rce-mitigation-alternative