Spring Framework RCE 취약점에 대한 설명
TP-Link는 Spring Framework의 RCE 취약점 CVE-2022-22965에 대해 인식하고 있습니다. 공식 정보에 따르면 해당 취약점의 전제 조건은 다음과 같습니다.
- Spring Framework: 5.3.0 ~ 5.3.17, 5.2.0 ~ 5.2.19, 이전의 미지원 버전도 영향을 받습니다.
- JDK 9 이상
- 서블릿 컨테이너(Servlet container)로서의 Apache Tomcat
- WAR 패키징
- spring-webmvc 또는 spring-webflux 종속성
TP-Link는 고객의 보안을 우선시합니다. TP-Link는 취약점을 면밀하게 모티터링하고 조사하며 추가 정보가 제공되는 대로 해당 권고사항을 업데이트할 예정입니다.
잠재적 영향을 받을 수 있는 TP-Link 제품:
Omada 소프트웨어 컨트롤러는 Spring Framework를 사용하며 (OpenJDK-8) 버전 5.0부터 Java 8 (OpenJDK-8) 이상을 지원합니다. 반면, Spring Framework의 사용은 위 전제조건에 충족되지 않으며 공격 시뮬레이션/취약점 스캔으로 인해 오류가 발생합니다.
그럼에도 불구하고 취약점의 특성은 일반적이므로 컨트롤러를 실행하기 위해 Java 8 (OpenJDK-8)를 다운그레이드하는 것을 권장합니다. 더 자세한 가이드는 커뮤니티를 참고하세요.
Omada 하드웨어 컨트롤러 (OC200 v1/v2, OC300)와 Omada 클라우드 기반 컨트롤러 모두OpenJDK-8를 사용하므로 이 취약점에 영향을 받지 않습니다. TP-Link는 내장된 Spring Framework를 업데이트하여 후속 업데이트의 취약점을 수정합니다.
영향을 받지 않는 TP-Link 제품:
모든 Wi-Fi 공유기
모든 메시 Wi-Fi(Deco)
모든 범위 확장기
모든 전력선 어댑터
모든 모바일 Wi-Fi 제품
모든 SMB 라우터, 스위치, Omada EAP, 및 Pharos CPE
모든 VIGI 제품
앱: Tether, Deco, Tapo, Kasa, tpMiFi, Omada
주의사항
권장사항을 따르지 않는 경우, 취약점은 계속 발생할 것입니다. TP-Link는 권장사항을 따르지 않아 발생되는 결과에 대한 어떤 책임도 지지 않습니다.
해당 FAQ가 유용했나요?
여러분의 의견은 사이트 개선을 위해 소중하게 사용됩니다.