Spring Framework RCE 취약점에 대한 설명

보안 자문
수정일04-11-2022 09:27:27 AM 38684
본 내용은 다음 항목에 적용됩니다: 

TP-Link는 Spring Framework의 RCE 취약점 CVE-2022-22965에 대해 인식하고 있습니다. 공식 정보에 따르면 이 취약점의 전제 조건은 다음과 같습니다.

  • Spring Framework: 5.3.0 ~ 5.3.17, 5.2.0 ~ 5.2.19 이전의 미지원 버전은 영향받지 않습니다.
  • JDK 9 이상 
  • 서블릿 컨테이너 Apache Tomcat 
  • WAR로 패키징
  • spring-webmvc 또는 spring-webflux 종속성

TP-Link는 고객을 우선으로 합니다. TP-Link는 면밀하게 모니터링하고 취약점을 조사하며 더 많은 권고 사항이 업데이트되는대로 지속적으로 업데이트할 예정입니다.  

잠재적 영향을 받은 TP-Link 제품:

DPMS (DeltaStream PON 관리 시스템)은 Spring Framework를 사용하며 버전 5부터 Java 8 (OpenJDK-8) 이상을 지원합니다. 하지만 Spring Framework의 사용은 위 전제조건을 충족하지 않으며 시뮬레이션/취약점 스캔으로 인해 오류가 발생합니다.

그러나, 취약성의 특징이 보다 일반적인 것을 고려하여, DPMS를 실행하려면 Java 8 (OpenJDK-8)로 다운그레이드하는 것을 권장합니다. TP-Link는 내장된 Spring Framework를 업데이트하여 추후 업데이트에서 취약점을 수정할 예정입니다. 

영향을 받지 않는 TP-Link 제품:

모든 Wi-Fi 공유기

모든 메시 Wi-Fi(Deco)

모든 범위 확장기

모든 전력선 어댑터

모든 모바일 Wi-Fi 제품

모든 SMB 라우터, 스위치, Omada EAP 및 Pharos CPE

모든 VIGI 제품

모든GPON 제품

앱: Tether, Deco, Tapo, Kasa, tpMiFi, Omada

주의사항

권장사항에 따라 조치를 취하지 않으면 이 취약점은 지속될 것입니다. TP-Link는 다음 설명의 권장 사항을 따르지 않아 발생되는 결과에 대해서는 어떤 책임을 지지 않습니다.

해당 FAQ가 유용했나요?

여러분의 의견은 사이트 개선을 위해 소중하게 사용됩니다.

From United States?

해당 지역의 제품, 이벤트 및 서비스를 받아보세요.