스프링이 vmware 것이었구나,
DeserializationUtils 과 관련된 문제 (java 직렬화와 관련된 요소)
이것이 취약함을 알고있으므로, 하지 않을 것이다.
취약한 애플리케이션이 톰캣에 임베드 되어야 익스플로잇 가능
그러나 SpringBoot로는 불가능
Log4Shell과 Spring4Shell 간의 사이
여전히 Log4Shell이 더 큰 파급력을 지님
스프링 측에서 이번 제로데이 취약점에 대해 처음 알게 된 건 3월 29일
시작
중국 보안 전문가가 관련 PoC를 영상으로 업로드하였음
참고자료
http://m.boannews.com/html/detail.html?idx=105823
https://www.boannews.com/media/view.asp?idx=105852
'요즘 트렌드' 카테고리의 다른 글
| #Spring4shell (0) | 2022.04.12 |
|---|---|
| # 클라우드 보안 (0) | 2022.04.12 |
| [트렌드] 취약점 (0) | 2022.03.31 |
| [리뷰] (보안뉴스) 기업 사용자 노린 악성 워드 문서 (0) | 2022.03.29 |
| KISA 사이버 보안 취약점 정보 포털 (0) | 2022.03.29 |