Information Security
스프링4셸(Spring4Shell) 본문
https://m.boannews.com/html/detail.html?tab_type=1&idx=105823
로그4셸과 닮은꼴? 웹 앱 프레임워크인 스프링에서 나온 스프링4셸
인기 높은 웹 애플리케이션 개발 프레임워크인 스프링(Spring)에서 제로데이 취약점이 발견됐다. 많은 개발자들이 스프링을 사용해 앱을 개발하기 때문에 수많은 웹 애플리케이션들이 취약할 것
m.boannews.com
웹 애플리케이션 개발 프레임워크인 스프링(Spring)에서 제로데이 취약점이 발견
제로데이 취약점은 원격 공격을 가능하게 하는 성질을 가지고 있음
-> 스프링과 관련된 웹 애플리케이션들의 시급한 점검이 필요
아파치 톰캣(Apache Tomcat) 서버에 구축되었을 경우 원격 익스플로잇이 가능
2021년에 발견된 로그4셸 취약점과는 비슷한 이름이 붙었지만 인기 많은 프레임워크 혹은 라이브러리가 알려진 것, 자바 환경에서 사용된다는 점만 비슷함
=> 로그4셸 취약점이 비교 불가할 정도로 훨씬 더 심각한 취약점
Why? 스프링4셸을 공격하려면 공격자가 미리 애플리케이션의 엔드포인트 주소도 알고 있어야 하기 때문에 난이도가 높기 때문
'STUDY > News' 카테고리의 다른 글
| 새로운 정보 탈취형 멀웨어 블랙가드 (0) | 2022.04.03 |
|---|---|
| 클라우드를 이용한 암호화폐 채굴 (1) | 2022.04.02 |
| NPM 패키지, 애저 개발자들 노리다 (0) | 2022.03.26 |
| 새로운 BitB 공격 (0) | 2022.03.26 |
| 2022년 3월 셋째 주, 국내에 가장 많이 유포된 악성코드 TOP 5 (0) | 2022.03.26 |