Spring Framework RCE 취약점에 대한 설명

보안 자문
수정일04-14-2022 00:57:00 AM 31651
본 내용은 다음 항목에 적용됩니다: 

TP-Link는 Spring Framework의 RCE 취약점 CVE-2022-22965에 대해 인식하고 있습니다. 공식 정보에 따르면 해당 취약점의 전제 조건은 다음과 같습니다.

  • Spring Framework: 5.3.0 ~ 5.3.17, 5.2.0 ~ 5.2.19, 이전의 미지원 버전도 영향을 받습니다.
  • JDK 9 이상
  • 서블릿 컨테이너(Servlet container)로서의 Apache Tomcat 
  • WAR 패키징
  • spring-webmvc 또는 spring-webflux 종속성

TP-Link는 고객의 보안을 우선시합니다. TP-Link는 취약점을 면밀하게 모티터링하고 조사하며 추가 정보가 제공되는 대로 해당 권고사항을 업데이트할 예정입니다. 

잠재적 영향을 받을 수 있는 TP-Link 제품:

Omada 소프트웨어 컨트롤러는 Spring Framework를 사용하며 (OpenJDK-8) 버전 5.0부터  Java 8 (OpenJDK-8) 이상을 지원합니다. 반면, Spring Framework의 사용은 위 전제조건에 충족되지 않으며  공격 시뮬레이션/취약점 스캔으로 인해 오류가 발생합니다.

그럼에도 불구하고 취약점의 특성은 일반적이므로 컨트롤러를 실행하기 위해 Java 8 (OpenJDK-8)를 다운그레이드하는 것을 권장합니다. 더 자세한 가이드는 커뮤니티를 참고하세요.

Omada 하드웨어 컨트롤러 (OC200 v1/v2, OC300)와 Omada 클라우드 기반 컨트롤러 모두OpenJDK-8를 사용하므로 이 취약점에 영향을 받지 않습니다. TP-Link는 내장된 Spring Framework를 업데이트하여 후속 업데이트의 취약점을 수정합니다.

영향을 받지 않는 TP-Link 제품:

모든 Wi-Fi 공유기

모든 메시 Wi-Fi(Deco)

모든 범위 확장기

모든 전력선 어댑터

모든 모바일 Wi-Fi 제품

모든 SMB 라우터, 스위치, Omada EAP, 및 Pharos CPE

모든 VIGI 제품

앱: Tether, Deco, Tapo, Kasa, tpMiFi, Omada

주의사항

권장사항을 따르지 않는 경우, 취약점은 계속 발생할 것입니다. TP-Link는 권장사항을 따르지 않아 발생되는 결과에 대한 어떤 책임도 지지 않습니다. 

해당 FAQ가 유용했나요?

여러분의 의견은 사이트 개선을 위해 소중하게 사용됩니다.

From United States?

해당 지역의 제품, 이벤트 및 서비스를 받아보세요.