고정 헤더 영역
상세 컨텐츠
본문
🔽기사 전문
http://www.boannews.com/media/view.asp?idx=105823
로그4셸과 닮은꼴? 웹 앱 프레임워크인 스프링에서 나온 스프링4셸
인기 높은 웹 애플리케이션 개발 프레임워크인 스프링(Spring)에서 제로데이 취약점이 발견됐다. 많은 개발자들이 스프링을 사용해 앱을 개발하기 때문에 수많은 웹 애플리케이션들이 취약할 것
www.boannews.com
[요약]
1. 웹 애플리케이션 개발 프레임워크인 스프링(spring)에서 제로데이 취약점 발견. 해당 취약점은 아파치 톰캣 서버에 구축됐을 경우 원격 익스플로잇 가능해 스프링4셸, 스프링셸이라고 부름.
2. 스프링 프레임워크에서 다른 두 개의 취약점이 또 발견. 스프링4셸과는 무관.
3. 스프링셸을 익스플로잇 하려면 DeserializationUtils을 사용하는 웹 앱 인스턴스를 찾아야 하는데 해당 인스턴스의 위험성은 가발자들이 상식처럼 알고있음. 고로 공격 전제 조건이 성립되기 어렵고 현 시점까지 익스플로잇 시도는 발견되지 않음.
4. 로그4셸이 훨씬 심각함. 비교불가.
'IT 보안 > 보안최신동향' 카테고리의 다른 글
| [220331] 클라우드에 빈틈만 보이면 암호화폐 채굴을 시작하는 사이버 공격자들 (0) | 2022.04.03 |
|---|---|
| [220322] 새로운 BitB 공격, 피싱을 보이지 않게 만들어 (0) | 2022.04.03 |
| [220325] 200개가 넘는 NPM 패키지, 애저 개발자들 노리고 있어 (0) | 2022.03.27 |
| [220325] 2022년 3월 셋째 주, 국내에 가장 많이 유포된 악성코드 TOP 5 (0) | 2022.03.27 |
| [220325] 구글 "北해커, 크롬 제로데이 취약점 악용해 사이버 공격" (0) | 2022.03.27 |
