로그4셸과 이름도 비슷한 취약점 스프링4셸...자바 생태계의 또 다른 제로데이
요약 : 스프링(Spring)이라는 인기 높은 자바 애플리케이션 프레임워크에서 제로데이 취약점이 발견됐다. 이 취약점에는 스프링4셸(Spring4Shell)이라는 이름이 붙었다. 정식 관리 번호는 CVE-2022-22963이며, 조만간 개념증명용 익스플로잇 코드도 나올 예정이다. 현재 이 취약점 관련 정보는 중국의 채팅 서비스인 QQ에서 활발히 돌고 있는데, 이에 따르면 원격 코드 실행을 가능하게 해 주는 취약점이라고 한다. 모든 스프링 앱들이 다 취약한 건 아니고, 취약점을 발동시키는 데 필요한 조건이 있다고 한다.
[이미지 = utoimage]
배경 : 개발자들은 스프링을 사용해 간단히 자바 애플리케이션을 개발할 수 있다. 편리한 개발 도구라고도 볼 수 있다. 이번 취약점 익스플로잇 방법이나, 자바와 관련되어 있다는 사실이나, 로그4셸(Log4Shell)을 떠올리게 하는데, 아직까지는 로그4셸만큼 지독한 취약점은 아닌 것으로 보인다.
말말말 : “스프링4셸이 새로운 로그4셸이라고 말하기에는 아직 이릅니다. 그렇다고 그렇게 될 가능성이 아예 없는 것도 아닙니다. 좀 더 분석과 연구가 필요합니다.” -프레토리안(Praetorian)-
[국제부 문가용 기자(globoan@boannews.com)]
요약 : 스프링(Spring)이라는 인기 높은 자바 애플리케이션 프레임워크에서 제로데이 취약점이 발견됐다. 이 취약점에는 스프링4셸(Spring4Shell)이라는 이름이 붙었다. 정식 관리 번호는 CVE-2022-22963이며, 조만간 개념증명용 익스플로잇 코드도 나올 예정이다. 현재 이 취약점 관련 정보는 중국의 채팅 서비스인 QQ에서 활발히 돌고 있는데, 이에 따르면 원격 코드 실행을 가능하게 해 주는 취약점이라고 한다. 모든 스프링 앱들이 다 취약한 건 아니고, 취약점을 발동시키는 데 필요한 조건이 있다고 한다.
[이미지 = utoimage]
배경 : 개발자들은 스프링을 사용해 간단히 자바 애플리케이션을 개발할 수 있다. 편리한 개발 도구라고도 볼 수 있다. 이번 취약점 익스플로잇 방법이나, 자바와 관련되어 있다는 사실이나, 로그4셸(Log4Shell)을 떠올리게 하는데, 아직까지는 로그4셸만큼 지독한 취약점은 아닌 것으로 보인다.
말말말 : “스프링4셸이 새로운 로그4셸이라고 말하기에는 아직 이릅니다. 그렇다고 그렇게 될 가능성이 아예 없는 것도 아닙니다. 좀 더 분석과 연구가 필요합니다.” -프레토리안(Praetorian)-
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
