개요
Spring 프레임워크에서 발생하는 취약점을 해결하는 업데이트가 제공되었습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
CVE-2024-22233
- Spring Framework 6.0.15, 6.1.2 버전
CVE-2024-22259
- Spring Framework 6.1.0~6.1.4 버전
- Spring Framework 6.0.0~6.0.17 버전
- Spring Framework 5.3.0~5.3.32 버전
- 지원되지 않은 이전의 버전
CVE-2023-34053
- Spring Framework 6.0.0~6.0.13 버전
CVE-2024-22234
- Spring Security 6.1.0~6.1.6 버전
- Spring Security 6.2.0~6.2.1 버전
CVE-2023-34054
- Reactor Netty 1.1.0 ~ 1.1.12 버전
- Reactor Netty 1.0.0 ~ 1.0.38 버전
- Reactor Netty 1.0.X 미만 버전
해결된 취약점
Spring Framework에서 발생하는 서비스 거부 취약점 (CVE-2024-22233, CVE-2023-34053)
Spring Framework에서 UriComponentsBuilder를 사용하여 외부에서 제공된 URL 구문을 분석하고 구문 분석된 URL의 호스트에서 유효성 검사를 수행하는 애플리케이션은 공개 리디렉션이 가능한 취약점 (CVE-2024-22259)
Spring Security에서 애플리케이션이 AuthenticationTrustResolver.isFullyAuthenticated(Authentication) 메소드를 직접 사용할 때 발생하는 손상된 액세스 제어 취약점 (CVE-2024-22234)
Reactor Netty HTTP Server에서 발생하는 HTTPS 리퀘스트를 통해 DOS 조건을 유발가능한 취약점 (CVE-2023-34054)
취약점 패치
CVE-2024-22233
- Spring Framework 6.0.16, 6.1.3 버전
CVE-2024-22259
- Spring Framework 6.1.5, 6.0.18, 5.3.33 버전
CVE-2023-34053
- Spring Framework 6.0.14 버전
CVE-2024-22234
- Spring Security 6.1.7, 6.2.2 버전
CVE-2023-34054
- Reactor Netty 1.1.13, 1.1.13 버전
참고 사이트
[1] CVE-2024-22233: Spring Framework server Web DoS Vulnerability
https://spring.io/security/cve-2024-22233
[2] CVE-2024-22259: Spring Framework URL Parsing with Host Validation (2nd report)
https://spring.io/security/cve-2024-22259
[3] CVE-2023-34053: Spring Framework server Web Observations DoS Vulnerability
https://spring.io/security/cve-2023-34053
[4] CVE-2024-22234: Broken Access Control in Spring Security With Direct Use of isFullyAuthenticated