4.3 버전 CVE-2016-1000027 취약점 문의
- 작성자 :
- 신*성
- 작성일 :
- 2024-12-17 10:47:07
- 조회수 :
- 521
- 구분 :
- 기타
- 진행상태 :
- 완료
Q
프레임워크 4.2 버전을 사용중에 다음 취약점이 발견되었습니다.
CVE-2016-1000027
4.3 베타버전이 출시되었는데 해당 취약점이 조치되었는지 확인 가능할까요?
CVE-2016-1000027
4.3 베타버전이 출시되었는데 해당 취약점이 조치되었는지 확인 가능할까요?
환경정보
-
- OS 정보 :
- 표준프레임워크 버전 :
- JDK(JRE) 정보 :
- WAS 정보 :
- DB 정보 :
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크 센터입니다.
CVE-2016-1000027 취약점 관련하여
Pivotal에서 관련된 클래스를 삭제한 패치 버전은 따로 배포되지 않았습니다.
해당 취약점 내용중 Java 역직렬화(deserialization) 메소드는 안전하지 않으며
Spring 5.3.0 이상에서 영향을 받는 클래스들은 deprecated 처리되었고
Spring 6 이상에서는 완전히 제거되었습니다.
HttpInvokerServiceExporter등의 관련 클래스를 구현하여 사용하지 않는 경우
취약점에 영향은 없는 것으로 알려져 있습니다.
deprecated 된 클래스들의 리스트들은 해당 링크에서 확인 가능하므로 참고 부탁 드립니다.
https://javadoc.io/doc/org.springframework/spring-web/5.3.0/deprecated-list.html
또한 Spring 6의 경우 최소 환경 요구사항이 상당히 높은 편으로
JDK 17 이상, Jakarta EE9 이상을 충족해야 합니다.
이 경우 WAS는 Tomcat 10 이상이 필요하며
현재 사용 점유율이 높은 JDK 1.8에서는 구동이 불가능 합니다.
Spring 6가 요구하는 환경 요구사항은 다음 URL에서 확인가능합니다.
https://spring.io/blog/2022/11/16/spring-framework-6-0-goes-ga
감사합니다.
표준프레임워크 센터입니다.
CVE-2016-1000027 취약점 관련하여
Pivotal에서 관련된 클래스를 삭제한 패치 버전은 따로 배포되지 않았습니다.
해당 취약점 내용중 Java 역직렬화(deserialization) 메소드는 안전하지 않으며
Spring 5.3.0 이상에서 영향을 받는 클래스들은 deprecated 처리되었고
Spring 6 이상에서는 완전히 제거되었습니다.
HttpInvokerServiceExporter등의 관련 클래스를 구현하여 사용하지 않는 경우
취약점에 영향은 없는 것으로 알려져 있습니다.
deprecated 된 클래스들의 리스트들은 해당 링크에서 확인 가능하므로 참고 부탁 드립니다.
https://javadoc.io/doc/org.springframework/spring-web/5.3.0/deprecated-list.html
또한 Spring 6의 경우 최소 환경 요구사항이 상당히 높은 편으로
JDK 17 이상, Jakarta EE9 이상을 충족해야 합니다.
이 경우 WAS는 Tomcat 10 이상이 필요하며
현재 사용 점유율이 높은 JDK 1.8에서는 구동이 불가능 합니다.
Spring 6가 요구하는 환경 요구사항은 다음 URL에서 확인가능합니다.
https://spring.io/blog/2022/11/16/spring-framework-6-0-goes-ga
감사합니다.
