Spring 5.3.37 보안취약점 대응 방법
- 작성자
- 관리자
- 작성일자
- 2025-09-02
- 조회수
- 67
Q
Spring 5.3.37에서 현재 알려진 취약점은 다음과 같으며, 대응 방법을 안내 합니다.
CVE-2024-38816 / CVE-2024-38819 / CVE-2024-38828
A
현재 알려진 취약점은 다음에서 안내하고 있습니다.
https://spring.io/security/cve-2024-38816
https://spring.io/security/cve-2024-38819
https://spring.io/security/cve-2024-38828
Spring Framework 5.3.37 에서 확인되는 잠재적 취약점 및 대응 방법은 다음과 같습니다.
* CVE-2024-38816 / CVE-2024-38819 :
RouterFunctions 라우터 함수를 사용하여
정적 리소스 제공 및 FileSystemResource를 사용한 경로 지정시 취약점이 발생하므로
정적 파일에는 FileSystemResource 대신 ClassPathResource를 사용 합니다.
* CVE-2024-38828 :
@RequestBody byte[] 파라미터 사용 시 공격자가 의도적으로 서비스 거부(DoS)를 발생시킬 수 있으므로
@RequestBody byte[]를 InputStream으로 대체 및 요청 크기 제한 합니다.
참고로 스프링 쪽에서 수정한 v5.3.42 버전이 존재하나 상용으로만 배포하고 있으므로
취약점을 확인하여 취약 내용에 해당되지 않도록 개발할 필요가 있습니다.
https://enterprise.spring.io/projects/spring-framework/5.3.42
https://spring.io/security/cve-2024-38816
https://spring.io/security/cve-2024-38819
https://spring.io/security/cve-2024-38828
Spring Framework 5.3.37 에서 확인되는 잠재적 취약점 및 대응 방법은 다음과 같습니다.
* CVE-2024-38816 / CVE-2024-38819 :
RouterFunctions 라우터 함수를 사용하여
정적 리소스 제공 및 FileSystemResource를 사용한 경로 지정시 취약점이 발생하므로
정적 파일에는 FileSystemResource 대신 ClassPathResource를 사용 합니다.
* CVE-2024-38828 :
@RequestBody byte[] 파라미터 사용 시 공격자가 의도적으로 서비스 거부(DoS)를 발생시킬 수 있으므로
@RequestBody byte[]를 InputStream으로 대체 및 요청 크기 제한 합니다.
참고로 스프링 쪽에서 수정한 v5.3.42 버전이 존재하나 상용으로만 배포하고 있으므로
취약점을 확인하여 취약 내용에 해당되지 않도록 개발할 필요가 있습니다.
https://enterprise.spring.io/projects/spring-framework/5.3.42
