2022년 공통컴포넌트 취약점 확인 및 보안조치 방법 문의
- 작성자 :
- 박*지
- 작성일 :
- 2023-08-07 20:01:14
- 조회수 :
- 726
- 구분 :
- 실행환경 / 3.1
- 진행상태 :
- 완료
Q
질문에 앞서 개발지식이 충분치 않은 점 양해바랍니다.
문의1. 제공해주는 파일로 백업하라고 나와있는데, egovatchfileidpropertyeditor.java 같은 파일이 없으면 없는것 제외하고 진행하면 되는지 새로 추가해줘야 하는 부분인지 궁금합니다.
문의2. 문의3. 알고리즘키 및 해쉬패스워드 변경하기에서 현재 실행환경 3.1.0 인데 context-crypto.xml 파일이 없습니다. 이럴경우 제공된 소스를 추가하면 되는건가요.
추가로 암호화 관련해서 표준프레임워크 3.7 이하버전은 3.7.1 적용을 하면 된다고 나와있습니다. 다운로드-실행환경-3.x 에서 암호화 관련 라이브러리가 있더라구요.
궁금한건 이 라이브러리만 설치하면 암호화 관련된 import 에러 부분은 다 잡히는지 궁금합니다.
egovframework.rte.fdl.cryprography.impl.egovARIAcryptoserviceimpl
egovframework.rte.fdl.cryprography.egovpasswordEncoder
------> 이어서 문의3 캡처된 부분은 <bean id= "egovpasswordencoder~ 이부분은 현재 저희 소스파일엔 없던데 작성을 새로 해야하는 부분인가요.?
문의1. 제공해주는 파일로 백업하라고 나와있는데, egovatchfileidpropertyeditor.java 같은 파일이 없으면 없는것 제외하고 진행하면 되는지 새로 추가해줘야 하는 부분인지 궁금합니다.
문의2. 문의3. 알고리즘키 및 해쉬패스워드 변경하기에서 현재 실행환경 3.1.0 인데 context-crypto.xml 파일이 없습니다. 이럴경우 제공된 소스를 추가하면 되는건가요.
추가로 암호화 관련해서 표준프레임워크 3.7 이하버전은 3.7.1 적용을 하면 된다고 나와있습니다. 다운로드-실행환경-3.x 에서 암호화 관련 라이브러리가 있더라구요.
궁금한건 이 라이브러리만 설치하면 암호화 관련된 import 에러 부분은 다 잡히는지 궁금합니다.
egovframework.rte.fdl.cryprography.impl.egovARIAcryptoserviceimpl
egovframework.rte.fdl.cryprography.egovpasswordEncoder
------> 이어서 문의3 캡처된 부분은 <bean id= "egovpasswordencoder~ 이부분은 현재 저희 소스파일엔 없던데 작성을 새로 해야하는 부분인가요.?
환경정보
-
- OS 정보 :
- 표준프레임워크 버전 : 3.1.0
- JDK(JRE) 정보 :
- WAS 정보 :
- DB 정보 :
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크 센터입니다.
문의1. 제공해 드리는 파일은
공통컴포넌트 보안 패치가 적용된 파일로,
제공해 드리는 파일이 아닌 기존 파일을 백업하시고
제공해 드리는 파일로 기존 파일을 대체하시면 되며
보안 패치 대상으로 지정된 파일 중
존재하고 있지 않은 파일의 경우
보안 패치를 진행하실 필요는 없습니다.
문의2. algorithmKeyHash 값 적용의 경우
표준프레임워크 v3.8 이상일 시 context-crypto.xml에 변경된 값을 설정하는 것이며
표준프레임워크 v3.1의 경우에는
보안 취약점 조치 가이드 7 페이지의 6) algorithmKey 및 hashedPassword 변경하기를 참고하여
algorithmKeyHash 값을 생성 후
가이드 9 페이지의 * 표준프레임워크 v3.7 이하 부분에서 가이드하는 곳에
algorithmKeyHash 값을 적용시켜야 합니다.
crypto 암호화 라이브러리 추가의 경우
v3.7 이하 버전은 v3.7.1의 적용이 아닌
X.X.1 즉, v3.1의 경우 v3.1.1을 적용해야 하며
EgovPasswordEncoder와 EgovARIACryptoServiceImpl 부분의 경우에는
별도로 bean을 추가하여 첨부파일 아이디에 대한 보안 조치를 진행하셔야 합니다.
감사합니다.
표준프레임워크 센터입니다.
문의1. 제공해 드리는 파일은
공통컴포넌트 보안 패치가 적용된 파일로,
제공해 드리는 파일이 아닌 기존 파일을 백업하시고
제공해 드리는 파일로 기존 파일을 대체하시면 되며
보안 패치 대상으로 지정된 파일 중
존재하고 있지 않은 파일의 경우
보안 패치를 진행하실 필요는 없습니다.
문의2. algorithmKeyHash 값 적용의 경우
표준프레임워크 v3.8 이상일 시 context-crypto.xml에 변경된 값을 설정하는 것이며
표준프레임워크 v3.1의 경우에는
보안 취약점 조치 가이드 7 페이지의 6) algorithmKey 및 hashedPassword 변경하기를 참고하여
algorithmKeyHash 값을 생성 후
가이드 9 페이지의 * 표준프레임워크 v3.7 이하 부분에서 가이드하는 곳에
algorithmKeyHash 값을 적용시켜야 합니다.
crypto 암호화 라이브러리 추가의 경우
v3.7 이하 버전은 v3.7.1의 적용이 아닌
X.X.1 즉, v3.1의 경우 v3.1.1을 적용해야 하며
EgovPasswordEncoder와 EgovARIACryptoServiceImpl 부분의 경우에는
별도로 bean을 추가하여 첨부파일 아이디에 대한 보안 조치를 진행하셔야 합니다.
감사합니다.
