Search
Search Menu

Spring Framework RCE 취약점에 대한 설명

보안 자문
수정일04-14-2022 00:57:00 AM 30851
본 내용은 다음 항목에 적용됩니다: 

TP-Link는 Spring Framework의 RCE 취약점 CVE-2022-22965에 대해 인식하고 있습니다. 공식 정보에 따르면 해당 취약점의 전제 조건은 다음과 같습니다.

  • Spring Framework: 5.3.0 ~ 5.3.17, 5.2.0 ~ 5.2.19, 이전의 미지원 버전도 영향을 받습니다.
  • JDK 9 이상
  • 서블릿 컨테이너(Servlet container)로서의 Apache Tomcat 
  • WAR 패키징
  • spring-webmvc 또는 spring-webflux 종속성

TP-Link는 고객의 보안을 우선시합니다. TP-Link는 취약점을 면밀하게 모티터링하고 조사하며 추가 정보가 제공되는 대로 해당 권고사항을 업데이트할 예정입니다. 

잠재적 영향을 받을 수 있는 TP-Link 제품:

Omada 소프트웨어 컨트롤러는 Spring Framework를 사용하며 (OpenJDK-8) 버전 5.0부터  Java 8 (OpenJDK-8) 이상을 지원합니다. 반면, Spring Framework의 사용은 위 전제조건에 충족되지 않으며  공격 시뮬레이션/취약점 스캔으로 인해 오류가 발생합니다.

그럼에도 불구하고 취약점의 특성은 일반적이므로 컨트롤러를 실행하기 위해 Java 8 (OpenJDK-8)를 다운그레이드하는 것을 권장합니다. 더 자세한 가이드는 커뮤니티를 참고하세요.

Omada 하드웨어 컨트롤러 (OC200 v1/v2, OC300)와 Omada 클라우드 기반 컨트롤러 모두OpenJDK-8를 사용하므로 이 취약점에 영향을 받지 않습니다. TP-Link는 내장된 Spring Framework를 업데이트하여 후속 업데이트의 취약점을 수정합니다.

영향을 받지 않는 TP-Link 제품:

모든 Wi-Fi 공유기

모든 메시 Wi-Fi(Deco)

모든 범위 확장기

모든 전력선 어댑터

모든 모바일 Wi-Fi 제품

모든 SMB 라우터, 스위치, Omada EAP, 및 Pharos CPE

모든 VIGI 제품

앱: Tether, Deco, Tapo, Kasa, tpMiFi, Omada

주의사항

권장사항을 따르지 않는 경우, 취약점은 계속 발생할 것입니다. TP-Link는 권장사항을 따르지 않아 발생되는 결과에 대한 어떤 책임도 지지 않습니다. 

해당 FAQ가 유용했나요?

여러분의 의견은 사이트 개선을 위해 소중하게 사용됩니다.

From United States?

해당 지역의 제품, 이벤트 및 서비스를 받아보세요.

GO 다른 선택사항

이 사이트는 쿠키를 사용합니다. 사이트를 계속 탐색하면 쿠키 사용에 동의하는 것입니다. 자세히 알아보기.

이 사이트는 쿠키를 사용합니다. 사이트를 계속 탐색하면 쿠키 사용에 동의하는 것입니다. 자세히 알아보기.

Basic Cookies

These cookies are necessary for the website to function and cannot be deactivated in your systems.

TP-Link

accepted_local_switcher, tp_privacy_base, tp_privacy_marketing, tp_smb-select-product_scence, tp_smb-select-product_scenceSimple, tp_smb-select-product_userChoice, tp_smb-select-product_userChoiceSimple, tp_smb-select-product_userInfo, tp_smb-select-product_userInfoSimple, tp_top-banner, tp_popup-bottom, tp_popup-center, tp_popup-right-middle, tp_popup-right-bottom, tp_productCategoryType

Livechat

__livechat, __lc2_cid, __lc2_cst, __lc_cid, __lc_cst, CASID

Youtube

id, VISITOR_INFO1_LIVE, LOGIN_INFO, SIDCC, SAPISID, APISID, SSID, SID, YSC, __Secure-1PSID, __Secure-1PAPISID, __Secure-1PSIDCC, __Secure-3PSID, __Secure-3PAPISID, __Secure-3PSIDCC, 1P_JAR, AEC, NID, OTZ

Analysis and Marketing Cookies

Analysis cookies enable us to analyze your activities on our website in order to improve and adapt the functionality of our website.

The marketing cookies can be set through our website by our advertising partners in order to create a profile of your interests and to show you relevant advertisements on other websites.

Google Analytics & Google Tag Manager & Google Optimize

_gid, _ga_<container-id>, _ga, _gat_gtag_<container-id>

Google Ads & DoubleClick

test_cookie, _gcl_au

Facebook

_fbp

Crazy Egg

cebsp_, _ce.s, _ce.clock_data, _ce.clock_event, cebs

Hotjar

OptanonConsent, _sctr, _cs_s, _hjFirstSeen, _hjAbsoluteSessionInProgress, _hjSessionUser_14, _fbp, ajs_anonymous_id, _hjSessionUser_<hotjar-id>, _uetsid, _schn, _uetvid, NEXT_LOCALE, _hjSession_14, _hjid, _cs_c, _scid, _hjAbsoluteSessionInProgress, _cs_id, _gcl_au, _ga, _gid, _hjIncludedInPageviewSample, _hjSession_<hotjar-id>, _hjIncludedInSessionSample_<hotjar-id>

Linkedin

lidc, AnalyticsSyncHistory, UserMatchHistory, bcookie, li_sugr, ln_or