Synopsys, Sonatype, Snyk, White Source์์ ๋ฐํํ๋ ์คํ ์์ค ๋ผ์ด๋ธ๋ฌ๋ฆฌ์ ์ทจ์ฝ์ ์ ๋ํ ์ฐ๋ก ๋ณด๊ณ ์๊ฐ ๋ฐํ๋๋ฉด์ ๊ฐ๋ฐ ํ๋ก์ธ์ค์์ ํ์ฌ ์ํํธ์จ์ด ๊ตฌ์ฑ ์์ ๋ถ์(English Software Composition Analysis - SCA)์ ์ค์์ฑ์ด ์ปค์ง๊ณ ์์ต๋๋ค. ๋ณด๊ณ ์์ ๋ฐ๋ฅด๋ฉด
๊ฐ์ฅ ๋ํ์ ์ธ ์ฌ๋ก ์ค ํ๋
์ด ๊ธฐ์ฌ์์๋ ๋ถ์ ๊ฒฐ๊ณผ์ ํ์ง ์ธก๋ฉด์์ SCA ์ํ ๋๊ตฌ๋ฅผ ์ ํํ๋ ๋ฌธ์ ์ ๋ํด ์ค๋ช
ํฉ๋๋ค. ๊ธฐ๊ธฐ์ ๊ธฐ๋ฅ ๋น๊ต๋ ์ ๊ณต๋ฉ๋๋ค. CI/CD์ ์๋ฒ ๋ฉํ๋ ๊ณผ์ ๊ณผ ์ฐจํ ์ถํ์ ์ํ ํตํฉ ๊ธฐํ๋ ๋จ๊ฒจ๋๊ฒ ์ต๋๋ค. OWASP๋ ๋ค์ํ ๋๊ตฌ๋ฅผ ๋์
ํ์ต๋๋ค.
์ด์ ์์น
CPE์ ๋ชจ์ต์ ๊ณ ๋ คํ์ญ์์ค.
cpe:2.3:part:vendor:product:version:update:edition:language:sw_edition:target_sw:target_hw:other
- ๋ถํ: ๊ตฌ์ฑ ์์๊ฐ ์์ฉ ํ๋ก๊ทธ๋จ(a), ์ด์ ์ฒด์ (o), ํ๋์จ์ด(h)์ ์ํ๋ค๋ ํ์(ํ์ ํญ๋ชฉ)
- ๊ณต๊ธ ์ ์ฒด : ์ ํ ์ ์กฐ์ฌ๋ช (ํ์ํญ๋ชฉ)
- ์์ฑ๋ฌผ: ์ํ๋ช (ํ์)
- ๋ฒ์ : ๊ตฌ์ฑ ์์ ๋ฒ์ (์ฌ์ฉ๋์ง ์๋ ํญ๋ชฉ)
- ์ ๋ฐ์ดํธ : ํจํค์ง ์ ๋ฐ์ดํธ
- ํ : ์์๋ ๋ฒ์ (์ฌ์ฉ๋์ง ์๋ ํญ๋ชฉ)
- ์ธ์ด : RFC-5646์ ์ ์๋ ์ธ์ด
- SW ์๋์ : ์ํํธ์จ์ด ๋ฒ์
- ๋์ ์ํํธ์จ์ด: ์ ํ์ด ์คํ๋๋ ์ํํธ์จ์ด ํ๊ฒฝ
- ๋์ HW: ์ ํ์ด ์คํ๋๋ ํ๋์จ์ด ํ๊ฒฝ
- ๋ค๋ฅธ: ๊ณต๊ธ์ ๋๋ ์ ํ ์ ๋ณด
CPE์ ์๋ ๋ค์๊ณผ ๊ฐ์ต๋๋ค.
cpe:2.3:a:pivotal_software:spring_framework:3.0.0:*:*:*:*:*:*:*
๋ฌธ์์ด์ CPE ๋ฒ์ 2.3์ด ์ ์กฐ์
์ฒด์ ์ ํ๋ฆฌ์ผ์ด์
๊ตฌ์ฑ ์์๋ฅผ ์ค๋ช
ํจ์ ์๋ฏธํฉ๋๋ค. pivotal_software
์ ๋ชฉ์ผ๋ก spring_framework
๋ฒ์ 3.0.0. ์ทจ์ฝ์ ์ ์ด๋ฉด
URL์ SCA ๋๊ตฌ์์๋ ์ฌ์ฉ๋ฉ๋๋ค. ํจํค์ง URL ํ์์ ๋ค์๊ณผ ๊ฐ์ต๋๋ค.
scheme:type/namespace/name@version?qualifiers#subpath
- ๊ณํ: ์ด๊ฒ์ด ํจํค์ง URL์์ ๋ํ๋ด๋ 'pkg'๊ฐ ํญ์ ์์ต๋๋ค(ํ์).
- ์ ํ: ํจํค์ง์ "์ ํ" ๋๋ ํจํค์ง์ "ํ๋กํ ์ฝ"(์: maven, npm, nuget, gem, pypi ๋ฑ) (ํ์ํญ๋ชฉ)
- ๋ค์ ์คํ์ด์ค : Maven ๊ทธ๋ฃน ID, Docker ์ด๋ฏธ์ง ์์ ์, GitHub ์ฌ์ฉ์ ๋๋ ์กฐ์ง๊ณผ ๊ฐ์ ์ผ๋ถ ์ด๋ฆ ์ ๋์ฌ. ์ ํ ์ฌํญ์ด๋ฉฐ ์ ํ์ ๋ฐ๋ผ ๋ค๋ฆ ๋๋ค.
- ์ด๋ฆ: ํจํค์ง ์ด๋ฆ(ํ์)
- ๋ฒ์ : ํจํค์ง ๋ฒ์
- ์์ : OS, ์ํคํ ์ฒ, ๋ฐฐํฌ ๋ฑ๊ณผ ๊ฐ์ ํจํค์ง์ ๋ํ ์ถ๊ฐ ์๊ฒฉ ๋ฐ์ดํฐ์ ๋๋ค. ์ ํ์ ๋ฐ ์ ํ๋ณ ํญ๋ชฉ์ ๋๋ค.
- ํ์ ๊ฒฝ๋ก: ํจํค์ง์ ๋ฃจํธ์ ์๋์ ์ธ ํจํค์ง์ ์ถ๊ฐ ๊ฒฝ๋ก
์๋ฅผ ๋ค๋ฉด ๋ค์๊ณผ ๊ฐ์ต๋๋ค
pkg:golang/google.golang.org/genproto#googleapis/api/annotations
pkg:maven/org.apache.commons/[email protected]
pkg:pypi/[email protected]
BOM์ด XML ํ์์ผ๋ก ํ์๋๋ ์:
<?xml version="1.0" encoding="UTF-8"?>
<bom xmlns="http://cyclonedx.org/schema/bom/1.2" serialNumber="urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79" version="1">
<components>
<component type="library">
<publisher>Apache</publisher>
<group>org.apache.tomcat</group>
<name>tomcat-catalina</name>
<version>9.0.14</version>
<hashes>
<hash alg="MD5">3942447fac867ae5cdb3229b658f4d48</hash>
<hash alg="SHA-1">e6b1000b94e835ffd37f4c6dcbdad43f4b48a02a</hash>
<hash alg="SHA-256">f498a8ff2dd007e29c2074f5e4b01a9a01775c3ff3aeaf6906ea503bc5791b7b</hash>
<hash alg="SHA-512">e8f33e424f3f4ed6db76a482fde1a5298970e442c531729119e37991884bdffab4f9426b7ee11fccd074eeda0634d71697d6f88a460dce0ac8d627a29f7d1282</hash>
</hashes>
<licenses>
<license>
<id>Apache-2.0</id>
</license>
</licenses>
<purl>pkg:maven/org.apache.tomcat/[email protected]</purl>
</component>
<!-- More components here -->
</components>
</bom>
BOM์ ์ข
์์ฑ ์ถ์ ์ ์ํ ์
๋ ฅ ๋งค๊ฐ๋ณ์๋ก ์ฌ์ฉ๋ ์ ์์ ๋ฟ๋ง ์๋๋ผ ์๋ฅผ ๋ค์ด ๊ณ ๊ฐ์๊ฒ ์ํํธ์จ์ด๋ฅผ ์ ๊ณตํ๊ธฐ ์ํด ๊ณต๊ธ๋ง์์ ์ํํธ์จ์ด ๊ตฌ์ฑ ์์๋ฅผ ์ฌ๊ณ ๊ด๋ฆฌํ๋ ๋ฐ์๋ ์ฌ์ฉํ ์ ์์ต๋๋ค. 2014๋
์๋ ๋ฏธ๊ตญ์์ ๊ฒํ ๋ฅผ ์ํ ๋ฒ๋ฅ ์ด ์ ์๋๊ธฐ๋ ํ์ต๋๋ค.
SCA๋ก ๋์๊ฐ์ ์ข ์์ฑ ์ถ์ ์ Slack๊ณผ ๊ฐ์ ์๋ฆผ ํ๋ซํผ, Kenna Security์ ๊ฐ์ ์ทจ์ฝ์ฑ ๊ด๋ฆฌ ์์คํ ๊ณผ ์ฆ์ ํตํฉ๋ฉ๋๋ค. ๋ํ Dependency Track์ ์ฌ์ฉ๋์ง ์๋ ๋ฒ์ ์ ํจํค์ง๋ฅผ ๊ฐ์งํ๊ณ ๋ผ์ด์ผ์ค์ ๋ํ ์ ๋ณด๋ฅผ ์ ๊ณตํฉ๋๋ค(SPDX ์ง์์ผ๋ก ์ธํด).
SCA์ ํ์ง์ ๋ํด ๊ตฌ์ฒด์ ์ผ๋ก ์ด์ผ๊ธฐํ๋ฉด ๊ทผ๋ณธ์ ์ธ ์ฐจ์ด๊ฐ ์์ต๋๋ค.
์ข
์์ฑ ์ถ์ ์ ํ๋ก์ ํธ๋ฅผ ์
๋ ฅ์ผ๋ก ๋ฐ์๋ค์ด์ง ์๊ณ BOM์ผ๋ก ๋ฐ์๋ค์
๋๋ค. ์ฆ, ํ๋ก์ ํธ๋ฅผ ํ
์คํธํ๋ ค๋ฉด ๋จผ์ ์๋ฅผ ๋ค์ด CycloneDX๋ฅผ ์ฌ์ฉํ์ฌ bom.xml์ ์์ฑํด์ผ ํฉ๋๋ค. ๋ฐ๋ผ์ ์ข
์์ฑ ์ถ์ ์ CycloneDX์ ์ง์ ์์กดํฉ๋๋ค. ๋์์ ์ฌ์ฉ์ ์ ์๊ฐ ๊ฐ๋ฅํฉ๋๋ค. ๊ทธ๋์ OZON ํ์ ๋ค์๊ณผ ๊ฐ์ด ์ผ์ต๋๋ค.
๊ธฐ๋ฅ์ ๊ธฐ๋ฅ ์ค ์ผ๋ถ๋ฅผ ์์ฝํ๊ณ ๋ถ์์ ์ํด ์ง์๋๋ ์ธ์ด๋ ๊ณ ๋ คํด ๋ณด๊ฒ ์ต๋๋ค.
์ธ์ด
๋ฅ์์ค IQ
์ข
์์ฑ ํ์ธ
์ข
์์ฑ ์ถ์
์๋ฐ
+
+
+
C / C ++
+
+
-
C#
+
+
-
. NET
+
+
+
์ผ๋
-
-
+
์๋ฐ์คํฌ๋ฆฝํธ(NodeJS)
+
+
+
PHP
+
+
+
Python
+
+
+
๋ฃจ๋น
+
+
+
ํ
-
-
-
์ค์นผ๋ผ
+
+
+
๋ชฉํ C
+
+
-
๋น ๋ฅธ
+
+
-
R
+
-
-
Go
+
+
+
๊ธฐ๋ฅ
๊ธฐ๋ฅ
๋ฅ์์ค IQ
์ข
์์ฑ ํ์ธ
์ข
์์ฑ ์ถ์
์์ค ์ฝ๋์ ์ฌ์ฉ๋ ๊ตฌ์ฑ ์์์ ๋ผ์ด์ ์ค ์๋๋ฅผ ํ์ธํ๋ ๊ธฐ๋ฅ
+
-
+
Docker ์ด๋ฏธ์ง์ ์ทจ์ฝ์ ๋ฐ ๋ผ์ด์ ์ค ๋ฌด๊ฒฐ์ฑ์ ์ค์บํ๊ณ ๋ถ์ํ๋ ๊ธฐ๋ฅ
+ ํด๋ ์ด์์ ํตํฉ
-
-
์คํ ์์ค ๋ผ์ด๋ธ๋ฌ๋ฆฌ๋ฅผ ์ฌ์ฉํ๋๋ก ๋ณด์ ์ ์ฑ
์ ๊ตฌ์ฑํ๋ ๊ธฐ๋ฅ
+
-
-
์ทจ์ฝํ ๊ตฌ์ฑ ์์์ ๋ํ ์คํ ์์ค ๋ฆฌํฌ์งํ ๋ฆฌ ์ค์บ ๊ธฐ๋ฅ
+ RubyGems, Maven, NPM, Nuget, Pypi, Conan, Bower, Conda, Go, p2, R, Yum, Helm, Docker, CocoaPods, Git LFS
-
+ XNUMX ์ง์, RubyGems, Maven, NPM, Nuget, Pypi
์ ๋ด ์ฐ๊ตฌ ํ์ ๊ฐ์ฉ์ฑ
+
-
-
ํ์ ํ๋ก์์์ ์๋
+
+
+
ํ์ฌ ๋ฐ์ดํฐ๋ฒ ์ด์ค ์ฌ์ฉ
+ ํ์ํ ๋ฐ์ดํฐ๋ฒ ์ด์ค ์๋ํ์
+ Sonatype OSS, NPM ๊ณต๊ณต ๊ณ ๋ฌธ
+ Sonatype OSS, NPM Public Advisors, RetireJS, VulnDB, ์์ฒด ์ทจ์ฝ์ ๋ฐ์ดํฐ๋ฒ ์ด์ค ์ง์
๊ตฌ์ฑ๋ ์ ์ฑ
์ ๋ฐ๋ผ ๊ฐ๋ฐ ๋ฃจํ์ ์
๋ก๋๋ฅผ ์๋ํ ๋ ์คํ ์์ค ๊ตฌ์ฑ ์์๋ฅผ ํํฐ๋งํ๋ ๊ธฐ๋ฅ
+
-
-
์ทจ์ฝ์ ์์ ์ ๋ํ ๊ถ์ฅ ์ฌํญ, ์์ ์ฌํญ์ ๋ํ ๋งํฌ ๊ฐ์ฉ์ฑ
+
+- (๊ณต๊ฐ ๋ฐ์ดํฐ๋ฒ ์ด์ค์ ์ค๋ช
์ ๋ฐ๋ผ ๋ค๋ฆ)
+- (๊ณต๊ฐ ๋ฐ์ดํฐ๋ฒ ์ด์ค์ ์ค๋ช
์ ๋ฐ๋ผ ๋ค๋ฆ)
๋ฐ๊ฒฌ๋ ์ทจ์ฝ์ ์ ์ค์๋๋ณ ์์
+
+
+
์ญํ ์ก์ธ์ค ๋ชจ๋ธ
+
-
+
CLI ์ง์
+
+
+- (CycloneDX๋ง ํด๋น)
์ ์๋ ๊ธฐ์ค์ ๋ฐ๋ผ ์ทจ์ฝ์ ์ ํ/์ ๋ ฌ
+
-
+
์ ์ฒญ ์ํ๋ณ ๋์๋ณด๋
+
-
+
PDF ํ์์ ๋ณด๊ณ ์ ์์ฑ
+
-
-
JSONCSV ํ์์ ๋ณด๊ณ ์ ์์ฑ
+
+
-
๋ฌ์์์ด ์ง์
-
-
-
ํตํฉ ์ต์
ะะฝัะตะณัะฐัะธั
๋ฅ์์ค IQ
์ข
์์ฑ ํ์ธ
์ข
์์ฑ ์ถ์
LDAP/์กํฐ๋ธ ๋๋ ํ ๋ฆฌ์ ํตํฉ
+
-
+
Bamboo ์ง์์ ํตํฉ ํตํฉ
+
-
-
์ง์์ ํตํฉ ์์คํ
๊ณผ์ ํตํฉ(Continuous integration) TeamCity
+
-
-
์ง์์ ํตํฉ ์์คํ
๊ณผ์ ํตํฉ(์ง์์ ํตํฉ) GitLab
+
+- (GitLab์ฉ ํ๋ฌ๊ทธ์ธ)
+
์ง์์ ํตํฉ ์์คํ
๊ณผ์ ํตํฉ(Continuous integration) Jenkins
+
+
+
IDE ํ๋ฌ๊ทธ์ธ์ ๊ฐ์ฉ์ฑ
+ ์ธํ
๋ฆฌJ, ์ดํด๋ฆฝ์ค, ๋น์ฃผ์ผ ์คํ๋์ค
-
-
๋๊ตฌ์ ์น ์๋น์ค(API)๋ฅผ ํตํ ๋ง์ถคํ ํตํฉ ์ง์
+
-
+
์ข ์์ฑ ํ์ธ
์ฒ์ ์์
์๋์ ์ผ๋ก ์ทจ์ฝํ ์ ํ๋ฆฌ์ผ์ด์
์์ ์ข
์์ฑ ๊ฒ์ฌ ์คํ
์ด๋ฅผ ์ํด ์ฐ๋ฆฌ๋
mvn org.owasp:dependency-check-maven:check
๊ฒฐ๊ณผ์ ์ผ๋ก dependency-check-report.html์ด ๋์ ๋๋ ํ ๋ฆฌ์ ๋ํ๋ฉ๋๋ค.
ํ์ผ์ ์ด์ด๋ด
์๋ค. ์ด ์ทจ์ฝ์ ์๋ฅผ ์์ฝํ ํ ํจํค์ง, CPE, CVE ์๋ฅผ ๋ํ๋ด๋ ๋์ ์์ค์ Severity and Confidence๋ก ์ทจ์ฝ์ ์ ๋ํ ์ ๋ณด๋ฅผ ๋ณผ ์ ์์ต๋๋ค.
ํนํ ๊ฒฐ์ ์ด ๋ด๋ ค์ง ๊ทผ๊ฑฐ(์ฆ๊ฑฐ), ์ฆ ํน์ BOM์ ๋ฐ๋ผ ๋ ์์ธํ ์ ๋ณด๊ฐ ์ด์ด์ง๋๋ค.
๋ค์์ CPE, PURL ๋ฐ CVE์ ๋ํ ์ค๋ช
์
๋๋ค. ๊ทธ๊ฑด ๊ทธ๋ ๊ณ , ์์ ๊ถ์ฅ ์ฌํญ์ NVD ๋ฐ์ดํฐ๋ฒ ์ด์ค์ ์๊ธฐ ๋๋ฌธ์ ์ฒจ๋ถ๋์ง ์์ต๋๋ค.
๊ฒ์ฌ ๊ฒฐ๊ณผ๋ฅผ ์ฒด๊ณ์ ์ผ๋ก ๋ณด๋ ค๋ฉด ์ต์ํ์ ์ค์ ์ผ๋ก Nginx๋ฅผ ๊ตฌ์ฑํ๊ฑฐ๋ ์์ ๋ ๊ฒฐํจ์ Dependency Check ์ปค๋ฅํฐ๋ฅผ ์ง์ํ๋ ๊ฒฐํจ ๊ด๋ฆฌ ์์คํ
์ผ๋ก ๋ณด๋ผ ์ ์์ต๋๋ค. ์๋ฅผ ๋ค์ด ๊ฒฐํจ ๋์ฅ์
๋๋ค.
์ข ์์ฑ ์ถ์
์ค์น
Dependency Track์ ๋์คํ๋ ์ด ๊ทธ๋ํ๊ฐ ์๋ ์น ๊ธฐ๋ฐ ํ๋ซํผ์ด๋ฏ๋ก ํ์ฌ ์๋ฃจ์
์ ๊ฒฐํจ์ ์ ์ฅํ๋ ์ฌ๊ฐํ ๋ฌธ์ ๊ฐ ์์ต๋๋ค.
์ง์๋๋ ์ค์น ์๋๋ฆฌ์ค๋ ๋ค์๊ณผ ๊ฐ์ต๋๋ค. Docker, WAR, ์คํ ๊ฐ๋ฅํ WAR.
์ฒ์ ์์
์คํ ์ค์ธ ์๋น์ค์ URL๋ก ์ด๋ํฉ๋๋ค. admin / admin์ ํตํด ์ ๋ ฅํ๊ณ ๋ก๊ทธ์ธ ๋ฐ ๋น๋ฐ๋ฒํธ๋ฅผ ๋ณ๊ฒฝํ ํ ๋์๋ณด๋๋ก ์ด๋ํฉ๋๋ค. ๋ค์์ผ๋ก ํ ์ผ์ ๋ค์์์ Java ํ ์คํธ ์ ํ๋ฆฌ์ผ์ด์ ์ฉ ํ๋ก์ ํธ๋ฅผ ๋ง๋๋ ๊ฒ์ ๋๋ค. ํ/ํ๋ก์ ํธ โ ํ๋ก์ ํธ ๋ง๋ค๊ธฐ . DVJA๋ฅผ ์๋ก ๋ค์ด ๋ณด๊ฒ ์ต๋๋ค.
์ข
์์ฑ ์ถ์ ์ BOM๋ง ์
๋ ฅ์ผ๋ก ์ฌ์ฉํ ์ ์์ผ๋ฏ๋ก ์ด BOM์ ๊ฒ์ํด์ผ ํฉ๋๋ค. ์ฌ์ฉํ์
mvn org.cyclonedx:cyclonedx-maven-plugin:makeAggregateBom
bom.xml์ ๊ฐ์ ธ์ ์์ฑ๋ ํ๋ก์ ํธ์ ํ์ผ์ ๋ก๋ํฉ๋๋ค. DVJA โ ์ข ์์ฑ โ BOM ์ ๋ก๋.
๊ด๋ฆฌ โ ๋ถ์๊ธฐ๋ก ์ด๋ํฉ๋๋ค. NVD๋ฅผ ํฌํจํ๋ Internal Analyzer๋ง ํ์ฑํ๋์ด ์๋ค๋ ๊ฒ์ ์๊ณ ์์ต๋๋ค. Sonatype OSS Index๋ ์ฐ๊ฒฐํด ๋ณด๊ฒ ์ต๋๋ค.
๋ฐ๋ผ์ ํ๋ก์ ํธ์ ๋ํด ๋ค์ ๊ทธ๋ฆผ์ ์ป์ต๋๋ค.
๋ํ ๋ชฉ๋ก์์ Sonatype OSS์ ์ ์ฉ ๊ฐ๋ฅํ ํ๋์ ์ทจ์ฝ์ ์ ์ฐพ์ ์ ์์ต๋๋ค.
์ฃผ๋ ์ค๋ง์ ์ข
์์ฑ ์ถ์ ์ด ๋ ์ด์ ์ข
์์ฑ ๊ฒ์ฌ xml ๋ณด๊ณ ์๋ฅผ ํ์ฉํ์ง ์๋๋ค๋ ๊ฒ์
๋๋ค. Dependency Check ํตํฉ์ ์ต์ ์ง์ ๋ฒ์ ์ 1.0.0 - 4.0.2์์ผ๋ฉฐ 5.3.2๋ฅผ ํ
์คํธํ์ต๋๋ค.
์ฌ๊ธฐ์
๋ฅ์์ค IQ
์ฒ์ ์์
Nexus IQ ์ค์น๋ ์ํํธ์จ์ด ์์นด์ด๋ธ์์ ์ ๊ณต๋ฉ๋๋ค.
์ฝ์์ ๋ก๊ทธ์ธํ ํ ์กฐ์ง ๋ฐ ์ ํ๋ฆฌ์ผ์ด์ ์ ์์ฑํด์ผ ํฉ๋๋ค.
๋ณด์๋ค์ํผ IQ์ ๊ฒฝ์ฐ ๊ตฌ์ฑ์ ๋ค์ ๋ณต์กํฉ๋๋ค. ๋ค๋ฅธ "๋จ๊ณ"(๊ฐ๋ฐ, ๊ตฌ์ถ, ๋จ๊ณ, ๋ฆด๋ฆฌ์ค)์ ์ ์ฉํ ์ ์๋ ์ ์ฑ
๋ ๋ง๋ค์ด์ผ ํ๊ธฐ ๋๋ฌธ์
๋๋ค. ์ด๋ ์ทจ์ฝํ ๊ตฌ์ฑ ์์๊ฐ ํ๋ก๋์
ํ์ดํ๋ผ์ธ์ ๋ ๊ฐ๊น์์ง ๋ ์ฐจ๋จํ๊ฑฐ๋ ๊ฐ๋ฐ์๊ฐ ๋ค์ด๋ก๋ํ ๋ Nexus Repo์ ๋ค์ด๊ฐ๋ ์ฆ์ ์ฐจ๋จํ๋ ๋ฐ ํ์ํฉ๋๋ค.
์คํ์์ค์ ์ํฐํ๋ผ์ด์ฆ์ ์ฐจ์ด๋ฅผ ๋๋ผ๊ธฐ ์ํด ๋ฅ์์ค IQ๋ฅผ ํตํด ๋์ผํ ์ค์บ์ ๊ฐ์ ๋ฐฉ์์ผ๋ก ์ํํด๋ณด์. dvja-test-and-compare
:
mvn com.sonatype.clm:clm-maven-plugin:evaluate -Dclm.applicationId=dvja-test-and-compare -Dclm.serverUrl=<NEXUSIQIP> -Dclm.username=<USERNAME> -Dclm.password=<PASSWORD>
IQ ์น ์ธํฐํ์ด์ค์์ ์์ฑ๋ ๋ณด๊ณ ์์ URL์ ๋ฐ๋ฅด์ญ์์ค.
์ฌ๊ธฐ์์ ์ฌ๊ฐ๋ ์์ค์ด ๋ค๋ฅธ ๋ชจ๋ ์ ์ฑ
์๋ฐ์ ๋ณผ ์ ์์ต๋๋ค(์ ๋ณด์์ ๋ณด์์ ์ค์๊น์ง). ์ปดํฌ๋ํธ ์์ ๋ฌธ์ D๋ ์ปดํฌ๋ํธ๊ฐ ์ง์ ์ข
์์ฑ์ ์๋ฏธํ๊ณ , ์ปดํฌ๋ํธ ์์ ๋ฌธ์ T๋ ์ปดํฌ๋ํธ๊ฐ ์ ์ด์ ์ข
์์ฑ, ์ฆ ์ ์ด์ ์์ ์๋ฏธํฉ๋๋ค.
๊ทธ๊ฑด ๊ทธ๋ ๊ณ , ๋ณด๊ณ ์
Nexus IQ ์ ์ฑ ์๋ฐ ์ค ํ๋๋ฅผ ์ด๋ฉด ๊ตฌ์ฑ ์์์ ๋ํ ์ค๋ช ๊ณผ ์๊ฐ ๊ทธ๋ํ์์ ํ์ฌ ๋ฒ์ ์ ์์น์ ์ทจ์ฝ์ ์ด ์ค๋จ๋๋ ์์ ์ ๋ณด์ฌ์ฃผ๋ ๋ฒ์ ๊ทธ๋ํ๋ฅผ ๋ณผ ์ ์์ต๋๋ค. ์ทจ์ฝํ๋ค. ๊ทธ๋ํ์ ์์ด ๋์ด๋ ์ด ๊ตฌ์ฑ ์์๋ฅผ ์ฌ์ฉํ๋ ์ธ๊ธฐ๋๋ฅผ ๋ํ๋ ๋๋ค.
์ทจ์ฝ์ ์น์
์ผ๋ก ์ด๋ํ์ฌ CVE๋ฅผ ์ด๋ฉด ์ด ์ทจ์ฝ์ ์ ๋ํ ์ค๋ช
, ์์ ๊ถ์ฅ ์ฌํญ, ์ด ๊ตฌ์ฑ ์์๊ฐ ์๋ฐ๋ ์ด์ , ์ฆ ํด๋์ค์ ์กด์ฌ ์ฌ๋ถ๋ฅผ ์ฝ์ ์ ์์ต๋๋ค. DiskFileitem.class
.
js ๊ตฌ์ฑ ์์๋ฅผ ์ ๊ฑฐํ์ฌ ํ์ฌ Java ๊ตฌ์ฑ ์์๋ง ์์ฝํด ๋ณด๊ฒ ์ต๋๋ค. ๊ดํธ ์์๋ NVD ์ธ๋ถ์์ ๋ฐ๊ฒฌ๋ ์ทจ์ฝ์ ์ ์๋ฅผ ๋ํ๋
๋๋ค.
์ด ๋ฅ์์ค IQ:
- ์ค์บ๋ ์ข ์์ฑ: 62
- ์ทจ์ฝํ ์ข ์์ฑ: 16
- ๋ฐ๊ฒฌ๋ ์ทจ์ฝ์ : 42๊ฐ(8 sonatype db)
์ ์ฒด ์ข ์์ฑ ํ์ธ:
- ์ค์บ๋ ์ข ์์ฑ: 47
- ์ทจ์ฝํ ์ข ์์ฑ: 13
- ๋ฐ๊ฒฌ๋ ์ทจ์ฝ์ : 91 (14 sonatype oss)
์ ์ฒด ์ข ์์ฑ ์ถ์ :
- ์ค์บ๋ ์ข ์์ฑ: 59
- ์ทจ์ฝํ ์ข ์์ฑ: 10
- ๋ฐ๊ฒฌ๋ ์ทจ์ฝ์ : 51 (1 sonatype oss)
๋ค์ ๋จ๊ณ๋ ๊ฒฐ๊ณผ๋ฅผ ๋ถ์ํ๊ณ ์ด๋ฌํ ์ทจ์ฝ์ ์ค ์ด๋ค ๊ฒ์ด ์ค์ ๊ฒฐํจ์ด๊ณ ์ด๋ค ๊ฒ์ด ๊ฑฐ์ง ๊ธ์ ์ธ์ง ํ์ ํ๋ ๊ฒ์ ๋๋ค.
๋ถ์ธ ์ฑ๋ช
์ด ๋ฆฌ๋ทฐ๋ ๋ช ๋ฐฑํ ์ฌ์ค์ด ์๋๋๋ค. ์ ์๋ ๋ค๋ฅธ ์ฌ๋๋ค์ ๋ฐฐ๊ฒฝ์ ๋ํด ๋ณ๋์ ์ ๊ธฐ๋ฅผ ๊ณจ๋ผ๋ด๋ ๋ชฉํ๊ฐ ์์์ต๋๋ค. ๊ฒํ ์ ๋ชฉ์ ์ SCA ๋๊ตฌ์ ์๋ ๋ฐฉ์๊ณผ ๊ทธ ๊ฒฐ๊ณผ๋ฅผ ํ์ธํ๋ ๋ฐฉ๋ฒ์ ๋ณด์ฌ์ฃผ๋ ๊ฒ์ด์์ต๋๋ค.
๊ฒฐ๊ณผ ๋น๊ต
์ด์ฉ ์ฝ๊ด :
ํ์ฌ ๊ตฌ์ฑ ์์ ์ทจ์ฝ์ ์ ๋ํ ๊ฑฐ์ง ๊ธ์ ์ ๋ค์๊ณผ ๊ฐ์ต๋๋ค.
- ์๋ณ๋ ๊ตฌ์ฑ ์์์ ๋ํ CVE ๋ถ์ผ์น
- ์๋ฅผ ๋ค์ด, ์ทจ์ฝ์ ์ด struts2 ํ๋ ์์ํฌ์์ ๋ฐ๊ฒฌ๋๊ณ ๋๊ตฌ๊ฐ ์ด ์ทจ์ฝ์ ์ ์ํฅ์ ๋ฐ์ง ์๋ struts-tiles ํ๋ ์์ํฌ์ ๊ตฌ์ฑ ์์๋ฅผ ๊ฐ๋ฆฌํค๋ ๊ฒฝ์ฐ ์ด๋ ๊ฑฐ์ง ๊ธ์ ์ ๋๋ค.
- ๊ฐ์ง๋ ๊ตฌ์ฑ์์ ๋ฒ์ ๊ณผ CVE ๋ถ์ผ์น
- ์๋ฅผ ๋ค์ด, ์ด ์ทจ์ฝ์ฑ์ Python ๋ฒ์ > 3.5์ ์ฐ๊ฒฐ๋์ด ์์ผ๋ฉฐ ๋๊ตฌ๋ ๋ฒ์ 2.7์ ์ทจ์ฝํ ๊ฒ์ผ๋ก ํ์ํฉ๋๋ค. ์ฌ์ค ์ด ์ทจ์ฝ์ฑ์ 3.x ์ ํ ๋ถ๊ธฐ์๋ง ์ ์ฉ๋๋ฏ๋ก ์ด๋ ์๋ชป๋ ๊ธ์ ์ ๋๋ค.
- CVE ๋ณต์
- ์๋ฅผ ๋ค์ด SCA๊ฐ RCE ๊ตฌํ์ ํ์ฉํ๋ CVE๋ฅผ ๊ฐ๋ฆฌํค๋ ๊ฒฝ์ฐ SCA๋ ํด๋น RCE๊ฐ ์ ์ฉ๋๋ Cisco ์ ํ์ ์ ์ฉ๋๋ ๋์ผํ CVE๋ฅผ ๊ฐ๋ฆฌํต๋๋ค. ์ด ๊ฒฝ์ฐ ๊ฑฐ์ง ๊ธ์ ์ด ๋ฉ๋๋ค.
- ์๋ฅผ ๋ค์ด spring-web ๊ตฌ์ฑ ์์์์ CVE๊ฐ ๋ฐ๊ฒฌ๋ ํ SCA๋ Spring Framework์ ๋ค๋ฅธ ๊ตฌ์ฑ ์์์์ ๋์ผํ CVE๋ฅผ ๊ฐ๋ฆฌํค์ง๋ง CVE๋ ๋ค๋ฅธ ๊ตฌ์ฑ ์์์ ๊ด๋ จ์ด ์์ต๋๋ค. ์ด ๊ฒฝ์ฐ ๊ฑฐ์ง ๊ธ์ ์ด ๋ฉ๋๋ค.
์ฐ๊ตฌ ๋์์ ์คํ ์์ค ํ๋ก์ ํธ DVJA์ ๋๋ค. ์ด ์ฐ๊ตฌ์๋ js๊ฐ ์๋ ์๋ฐ ๊ตฌ์ฑ ์์๋ง ํฌํจ๋์์ต๋๋ค.
์์ฝ ๊ฒฐ๊ณผ
์๋ณ๋ ์ทจ์ฝ์ ์ ๋ํ ์๋ ๊ฒํ ๊ฒฐ๊ณผ๋ก ์ด๋ํ๊ฒ ์ต๋๋ค. ๊ฐ CVE์ ๋ํ ์ ์ฒด ๋ณด๊ณ ์๋ ๋ถ๋ก์์ ์ฐพ์ ์ ์์ต๋๋ค.
๋ชจ๋ ์ทจ์ฝ์ ์ ๋ํ ์์ฝ ๊ฒฐ๊ณผ:
๋งค๊ฐ ๋ณ์
๋ฅ์์ค IQ
์ข
์์ฑ ํ์ธ
์ข
์์ฑ ์ถ์
์๋ณ๋ ์ด ์ทจ์ฝ์
42
91
51
์๋ชป ์๋ณ๋ ์ทจ์ฝ์ (๊ฐ์์ฑ)
2 (4.76 %)
62 (68,13 %)
29 (56.86 %)
๊ด๋ จ๋ ์ทจ์ฝ์ ์ด ๋ฐ๊ฒฌ๋์ง ์์(๊ฑฐ์ง ์์ฑ)
10
20
27
๊ตฌ์ฑ ์์๋ณ ์์ฝ ๊ฒฐ๊ณผ:
๋งค๊ฐ ๋ณ์
๋ฅ์์ค IQ
์ข
์์ฑ ํ์ธ
์ข
์์ฑ ์ถ์
๊ณต๊ฐ๋ ์ด ๊ตฌ์ฑ ์์
62
47
59
์ ์ฒด ์ทจ์ฝ ๊ตฌ์ฑ ์์
16
13
10
์ทจ์ฝํ ๊ตฌ์ฑ ์์๊ฐ ์๋ชป ์๋ณ๋จ(๊ฐ์์ฑ)
1
5
0
์ทจ์ฝํ ๊ตฌ์ฑ ์์๊ฐ ์๋ชป ์๋ณ๋จ(๊ฐ์์ฑ)
0
6
6
์ ์ฒด ์ทจ์ฝ์ ์์ ๋ํ ๊ฑฐ์ง ๊ธ์ ๋ฐ ๊ฑฐ์ง ๋ถ์ ์ ๋น์จ์ ์ถ์ ํ๋ ์๊ฐ์ ๊ทธ๋ํ๋ฅผ ์์ฑํด ๋ณด๊ฒ ์ต๋๋ค. ๊ตฌ์ฑ ์์๋ ๊ฐ๋ก๋ก ํ์๋๊ณ ๊ตฌ์ฑ ์์์์ ์๋ณ๋ ์ทจ์ฝ์ ์ ์ธ๋ก๋ก ํ์๋ฉ๋๋ค.
์ด์ ๋นํด Sonatype ํ์ OWASP ์ข
์์ฑ ๊ฒ์ฌ๋ฅผ ์ฌ์ฉํ์ฌ 1531๊ฐ ๊ตฌ์ฑ ์์์ ํ๋ก์ ํธ๋ฅผ ํ
์คํธํ๋ ์ ์ฌํ ์ฐ๊ตฌ๋ฅผ ์ํํ์ต๋๋ค. ์ ์ ์๋ฏ์ด ์ฌ๋ฐ๋ฅธ ์๋ต์ ๋ํ ๋
ธ์ด์ฆ์ ๋น์จ์ ๊ฒฐ๊ณผ์ ์ผ์นํฉ๋๋ค.
์ถ์ฒ :
์ด๋ฌํ ๊ฒฐ๊ณผ์ ์ด์ ๋ฅผ ์ดํดํ๊ธฐ ์ํด ์ค์บ ๊ฒฐ๊ณผ์์ ์ผ๋ถ CVE๋ฅผ ์ดํด๋ณด๊ฒ ์ต๋๋ค.
๋
โ 1
๋จผ์ Sonatype Nexus IQ์ ๋ช ๊ฐ์ง ํฅ๋ฏธ๋ก์ด ์ ์ ๋ถ์ํด ๋ณด๊ฒ ์ต๋๋ค.
Nexus IQ๋ Spring Framework์์ RCE๋ฅผ ์ฌ๋ฌ ๋ฒ ์ํํ ์ ์๋ ์ญ์ง๋ ฌํ ๋ฌธ์ ๋ฅผ ์ง์ ํฉ๋๋ค. CVE-2016-1000027 in spring-web:3.0.5 ์ฒ์์ผ๋ก, CVE-2011-2894 in spring-context:3.0.5 and spring-core:3.0.5. ์ฒ์์๋ ์ฌ๋ฌ CVE์ ๊ฑธ์ณ ์ทจ์ฝ์ ์ด ์ค๋ณต๋ ๊ฒ์ผ๋ก ๋ณด์ ๋๋ค. NVD ๋ฐ์ดํฐ๋ฒ ์ด์ค์ CVE-2016-1000027 ๋ฐ CVE-2011-2894๋ฅผ ๋ณด๋ฉด ๋ชจ๋ ๊ฒ์ด ๋ถ๋ช ํ ๊ฒ ๊ฐ์ต๋๋ค.
๊ตฌ์ฑ ์์
์ทจ์ฝ์
์คํ๋ง ์น:3.0.5
CVE-2016-1000027
์คํ๋ง ์ปจํ
์คํธ:3.0.5
CVE-2011-2894
์คํ๋ง ์ฝ์ด:3.0.5
CVE-2011-2894
๊ธฐ์
๊ธฐ์
CVE-2011-2894๋ ๊ทธ ์์ฒด๋ก ์ ์๋ ค์ ธ ์์ต๋๋ค. ๋ณด๊ณ ์์์ RemoteInvocationSerializingExporter
CVE-2011-2894์์ ์ทจ์ฝ์ ์ HttpInvokerServiceExporter
. ์ด๊ฒ์ด Nexus IQ๊ฐ ์๋ ค์ฃผ๋ ๋ด์ฉ์
๋๋ค.
๊ทธ๋ฌ๋ NVD์๋ ์ด์ ๊ฐ์ ๊ฒ์ด ์๊ธฐ ๋๋ฌธ์ Dependency Check ๋ฐ Dependency Track์ด ์๋ชป๋ ์์ฑ์ ์์ ํฉ๋๋ค.
๋ํ CVE-2011-2894์ ์ค๋ช ์์ ์ทจ์ฝ์ ์ด ์ค์ ๋ก spring-context:3.0.5 ๋ฐ spring-core:3.0.5 ๋ชจ๋์ ์กด์ฌํ๋ค๋ ๊ฒ์ ์ดํดํ ์ ์์ต๋๋ค. ์ด์ ๋ํ ํ์ธ์ ์ด ์ทจ์ฝ์ ์ ๋ฐ๊ฒฌํ ์ฌ๋์ ๊ธฐ์ฌ์์ ์ฐพ์ ์ ์์ต๋๋ค.
โ 2
๊ตฌ์ฑ ์์
์ทจ์ฝ์
๊ฒฐ๊ณผ
struts2-์ฝ์ด:2.3.30
CVE-2016-4003
๊ทธ๋ฆ๋
CVE-2016-4003 ์ทจ์ฝ์ ์ ์ฐ๊ตฌํ๋ฉด ๋ฒ์ 2.3.28์์ ์์ ๋์์์ ์ ์ ์์ง๋ง Nexus IQ๋ ์ด์ ๋ํด ์๋ ค์ค๋๋ค. ์ทจ์ฝ์ ์ค๋ช ์ ๋ฉ๋ชจ๊ฐ ์์ต๋๋ค.
์ฆ, ์ทจ์ฝ์ ์ ๊ฒฝ๊ณ ํ๊ธฐ๋ก ๊ฒฐ์ ํ ์ค๋๋ ๋ฒ์ ์ JRE์ ๊ด๋ จํด์๋ง ์กด์ฌํฉ๋๋ค. ๊ทธ๋ผ์๋ ๋ถ๊ตฌํ๊ณ ๊ฐ์ฅ ๋์ฐํ์ง๋ ์์ง๋ง False Positive๋ก ๊ฐ์ฃผํฉ๋๋ค.
โ 3
๊ตฌ์ฑ ์์
์ทจ์ฝ์
๊ฒฐ๊ณผ
xwork-core:2.3.30
CVE-2017-9804
TRUE
xwork-core:2.3.30
CVE-2017-7672
๊ทธ๋ฆ๋
CVE-2017-9804 ๋ฐ CVE-2017-7672์ ๋ํ ์ค๋ช
์ ๋ณด๋ฉด ๋ฌธ์ ๊ฐ ๋ค์์ ์์์ ์ดํดํ ์ ์์ต๋๋ค. URLValidator class
, CVE-2017-9804๋ CVE-2017-7672์์ ์ ๋ํฉ๋๋ค. ๋ ๋ฒ์งธ ์ทจ์ฝ์ ์ ์กด์ฌ๋ ์ฌ๊ฐ๋๊ฐ ๋์์ผ๋ก ๋์์ง ๊ฒ์ ์ ์ธํ๊ณ ๋ ํ์ด๋ก๋๋ฅผ ์ ๋ฌํ์ง ์์ผ๋ฏ๋ก ๋ถํ์ํ ๋
ธ์ด์ฆ๋ก ๊ฐ์ฃผ๋ ์ ์์ต๋๋ค.
์ ๋ฐ์ ์ผ๋ก Nexus IQ์ ๋ํ ๋ค๋ฅธ ์คํ์ง๋ ๋ฐ๊ฒฌ๋์ง ์์์ต๋๋ค.
โ 4
IQ๊ฐ ๋ค๋ฅธ ์๋ฃจ์ ๊ณผ ์ฐจ๋ณํ๋๋ ๋ช ๊ฐ์ง ์ฌํญ์ด ์์ต๋๋ค.
๊ตฌ์ฑ ์์
์ทจ์ฝ์
๊ฒฐ๊ณผ
์คํ๋ง ์น:3.0.5
CVE-2020-5398
TRUE
NVD์ CVE๋ ๋ฒ์ 5.2.x ~ 5.2.3, 5.1.x ~ 5.1.13, ๋ฒ์ 5.0.x ~ 5.0.16์๋ง ์ ์ฉ๋๋ค๊ณ ๋์ ์์ง๋ง Nexus IQ์ CVE ์ค๋ช
์ ๋ณด๋ฉด ๊ทธ๋ฌ๋ฉด ๋ค์์ด ํ์๋ฉ๋๋ค.
๊ถ๊ณ ํธ์ฐจ ์๋ฆผ: Sonatype ๋ณด์ ์ฐ๊ตฌํ์ ์ด ์ทจ์ฝ์ ์ด ๊ถ๊ณ ์ ๋ช
์๋ 3.0.2.x๊ฐ ์๋ 5.0.RELEASE ๋ฒ์ ์์ ๋์
๋์์์ ๋ฐ๊ฒฌํ์ต๋๋ค.
๊ทธ ๋ค์์๋ ์ด ์ทจ์ฝ์ ์ ๋ํ PoC๊ฐ ์์ผ๋ฉฐ ๋ฒ์ 3.0.5์ ์กด์ฌํ๋ค๊ณ ๋ช ์๋์ด ์์ต๋๋ค.
False Negative๋ ์ข ์์ฑ ๊ฒ์ฌ ๋ฐ ์ข ์์ฑ ์ถ์ ์ผ๋ก ์ ์ก๋ฉ๋๋ค.
โ 5
์ข ์์ฑ ํ์ธ ๋ฐ ์ข ์์ฑ ์ถ์ ์ ๋ํ ๊ฑฐ์ง ๊ธ์ ์ ์ดํด๋ณด๊ฒ ์ต๋๋ค.
Dependency Check๋ NVD์์ ์ ์ฒด ํ๋ ์์ํฌ์ ์ ์ฉ๋๋ CVE๋ฅผ ํด๋น CVE๊ฐ ์ ์ฉ๋์ง ์๋ ๊ตฌ์ฑ ์์์ ๋ฐ์ํ๊ธฐ ๋๋ฌธ์ ๋์ ๋๋๋ค. ์ด๊ฒ์ CVE-2012-0394, CVE-2013-2115, CVE-2014-0114, CVE-2015-0899, CVE-2015-2992, CVE-2016-1181, CVE-2016-1182์ ์ ์ฉ๋ฉ๋๋ค. "๋ฅผ struts-taglib:1.3.8 ๋ฐ struts-tiles-1.3.8๋ก ๋ณ๊ฒฝํฉ๋๋ค. ์ด๋ฌํ ๊ตฌ์ฑ ์์๋ CVE์ ์ค๋ช ๋ ์์ฒญ ์ฒ๋ฆฌ, ํ์ด์ง ์ ํจ์ฑ ๊ฒ์ฌ ๋ฑ๊ณผ๋ ์๋ฌด ๊ด๋ จ์ด ์์ต๋๋ค. ์ด๋ ์ด๋ฌํ CVE์ ๊ตฌ์ฑ ์์ ๊ฐ์ ํ๋ ์์ํฌ๋ง ๊ณตํต์ ์ด๋ผ๋ ์ฌ์ค ๋๋ฌธ์ด๋ฉฐ, ์ด๊ฒ์ด ์ข ์์ฑ ๊ฒ์ฌ๋ฅผ ์ทจ์ฝ์ ์ผ๋ก ๊ฐ์ฃผํ ์ด์ ์ ๋๋ค.
spring-tx:3.0.5์ ๊ฐ์ ์ํฉ์ด๊ณ struts-core:1.3.8๊ณผ ๋น์ทํ ์ํฉ์ ๋๋ค. struts-core์ ๊ฒฝ์ฐ Dependency Check ๋ฐ Dependency Track์์ ๋ณธ์ง์ ์ผ๋ก ๋ณ๋์ ํ๋ ์์ํฌ์ธ struts2-core์ ์ค์ ๋ก ์ ์ฉ๋๋ ๋ง์ ์ทจ์ฝ์ ์ ๋ฐ๊ฒฌํ์ต๋๋ค. ์ด ๊ฒฝ์ฐ Nexus IQ๋ ๊ทธ๋ฆผ์ ์ฌ๋ฐ๋ฅด๊ฒ ์ดํดํ์ผ๋ฉฐ ๋ฐํํ CVE์์ struts-core์ ์๋ช ์ด ์ข ๋ฃ๋์์ผ๋ฉฐ struts2-core๋ก ์ ํํด์ผ ํ๋ค๊ณ ํ์ํ์ต๋๋ค.
โ 6
๊ฒฝ์ฐ์ ๋ฐ๋ผ ๋ช ์์ ์ข ์์ฑ ํ์ธ ๋ฐ ์ข ์์ฑ ์ถ์ ์ค๋ฅ๋ฅผ ์ฒ๋ฆฌํ๋ ๊ฒ์ด ๋ถ๊ณตํํฉ๋๋ค. ํนํ ์ข ์์ฑ ๊ฒ์ฌ ๋ฐ ์ข ์์ฑ ์ถ์ ์ธ CVE-2013-4152, CVE-2013-6429, CVE-2013-6430, CVE-2013-7315, CVE-2014-0054, CVE-2014-0225, CVE-2014-0225 spring-core:3.0.5๋ผ๊ณ ํ๋ฉด ์ค์ ๋ก๋ spring-web:3.0.5๋ฅผ ์ฐธ์กฐํฉ๋๋ค. ๋์์ ์ด๋ฌํ CVE ์ค ์ผ๋ถ๋ Nexus IQ์์ ๋ฐ๊ฒฌ๋์์ง๋ง IQ๋ ์ด๋ฅผ ๋ค๋ฅธ ๊ตฌ์ฑ ์์๋ก ์ฌ๋ฐ๋ฅด๊ฒ ์๋ณํ์ต๋๋ค. ์ด๋ฌํ ์ทจ์ฝ์ ์ด spring-core์์ ๋ฐ๊ฒฌ๋์ง ์์๋ค๋ ์ ์์ ์์น์ ์ผ๋ก ํ๋ ์์ํฌ์ ์๋ค๊ณ ์ฃผ์ฅํ ์ ์์ผ๋ฉฐ ์คํ ์์ค ๋๊ตฌ๊ฐ ์ด๋ฌํ ์ทจ์ฝ์ ์ ์ฌ๋ฐ๋ฅด๊ฒ ์ง์ ํ์ต๋๋ค(๊ทธ๋ฅ ์กฐ๊ธ ๋์ณค์ ๋ฟ์ ๋๋ค).
์กฐ์ฌ ๊ฒฐ๊ณผ
์ฐ๋ฆฌ๊ฐ ๋ณผ ์ ์๋ฏ์ด ์๋ ๊ฒํ ์ ์ํด ์๋ณ๋ ์ทจ์ฝ์ ์ ์ ๋ขฐ์ฑ ๊ฒฐ์ ์ ๋ชจํธํ์ง ์์ ๊ฒฐ๊ณผ๋ฅผ ์ ๊ณตํ์ง ์์ ๋ ผ๋์ ์ฌ์ง๊ฐ ์์ต๋๋ค. ๊ทธ ๊ฒฐ๊ณผ Nexus IQ ์๋ฃจ์ ์ด ๊ฐ์ฅ ๋ฎ์ ์คํ๋ฅ ๊ณผ ๊ฐ์ฅ ๋์ ์ ํ๋๋ฅผ ๋ณด์์ต๋๋ค.
์ฐ์ , ์ด๊ฒ์ Sonatype ํ์ด ๋ฐ์ดํฐ๋ฒ ์ด์ค์์ NVD์ ๊ฐ CVE ์ทจ์ฝ์ ์ ๋ํ ์ค๋ช ์ ํ์ฅํ์ฌ ๊ตฌ์ฑ ์์์ ํน์ ๋ฒ์ ์ ๋ํ ์ทจ์ฝ์ ์ ํด๋์ค ๋๋ ๊ธฐ๋ฅ๊น์ง ์ถ๊ฐ ์์ ์ ์ํํ์์ ๋ํ๋ ๋๋ค. ์ฐ๊ตฌ(์: ์ด์ ์ํํธ์จ์ด ๋ฒ์ ์ ์ทจ์ฝ์ฑ ํ์ธ).
๊ฒฐ๊ณผ์ ์ค์ํ ์ํฅ์ ๋ฏธ์น๋ ๊ฒ์ NVD์ ํฌํจ๋์ง ์์์ง๋ง ๊ทธ๋ผ์๋ ๋ถ๊ตฌํ๊ณ SONATYPE์ผ๋ก ํ์๋ Sonatype ๋ฐ์ดํฐ๋ฒ ์ด์ค์ ์กด์ฌํ๋ ์ทจ์ฝ์ ์
๋๋ค. ๋ณด๊ณ ์์ ๋ฐ๋ฅด๋ฉด
๊ฒฐ๊ณผ์ ์ผ๋ก ์ข ์์ฑ ๊ฒ์ฌ๋ ์ทจ์ฝํ ๊ตฌ์ฑ ์์ ์ค ์ผ๋ถ๋ฅผ ๋์น๊ณ ๋ง์ ๋ ธ์ด์ฆ๋ฅผ ์์ฑํฉ๋๋ค. ์ข ์์ฑ ์ถ์ ์ ๋ ธ์ด์ฆ๋ฅผ ์ ๊ฒ ์์ฑํ๊ณ ๋ง์ ์์ ๊ตฌ์ฑ ์์๋ฅผ ๊ฐ์งํ๋ฏ๋ก ์น ์ธํฐํ์ด์ค์์ ์๊ฐ์ ์ผ๋ก ๋์ ์ํ๊ฒ ํ์ง ์์ต๋๋ค.
๊ทธ๋ผ์๋ ๋ถ๊ตฌํ๊ณ ์ค๋ฌด๋ ์ฑ์ํ DevSecOps๋ฅผ ํฅํ ์ฒซ ๋ฒ์งธ ๋จ๊ณ๊ฐ ๋์ด์ผ ํ๋ ๊ฒ์ด ์คํ ์์ค์์ ๋ณด์ฌ์ค๋๋ค. ๊ฐ๋ฐ์ SCA๋ฅผ ๋ด์ฅํ๊ธฐ ์ํด ๊ฐ์ฅ ๋จผ์ ์๊ฐํด์ผ ํ ๊ฒ์ ํ๋ก์ธ์ค, ์ฆ ์กฐ์ง์์ ์ด์์ ์ธ ํ๋ก์ธ์ค๊ฐ ์ด๋ค ๋ชจ์ต์ด์ด์ผ ํ๋์ง์ ๋ํด ๊ฒฝ์์ง ๋ฐ ๊ด๋ จ ๋ถ์์ ํจ๊ป ์๊ฐํ๋ ๊ฒ์ ๋๋ค. ์กฐ์ง์ ๊ฒฝ์ฐ ์ฒ์์๋ ์ข ์์ฑ ๊ฒ์ฌ ๋๋ ์ข ์์ฑ ์ถ์ ์ด ๋ชจ๋ ๋น์ฆ๋์ค ์๊ตฌ ์ฌํญ์ ์ถฉ์กฑํ๊ณ ์ํฐํ๋ผ์ด์ฆ ์๋ฃจ์ ์ ๊ฐ๋ฐ ์ค์ธ ์์ฉ ํ๋ก๊ทธ๋จ์ ๋ณต์ก์ฑ ์ฆ๊ฐ๋ก ์ธํด ๋ ผ๋ฆฌ์ ์ธ ์ฐ์์ฑ์ด ๋ ๊ฒ์ ๋๋ค.
๋ถ๋ก A. ๊ตฌ์ฑ ์์ ๊ฒฐ๊ณผ
๊ธฐํธ :
- ๊ตฌ์ฑ ์์์ ๋์ - ๋์ ๋ฐ ์น๋ช ์ ์์ค์ ์ทจ์ฝ์ฑ
- ์ค๊ฐ โ ๊ตฌ์ฑ ์์์ ์ค๊ฐ ์ฌ๊ฐ๋ ์ทจ์ฝ์ฑ
- TRUE - ์ฐธ ๊ธ์ ์ ์ธ ๋ฌธ์
- FALSE - ๊ฑฐ์ง์์ฑ ๋ฌธ์
๊ตฌ์ฑ ์์
๋ฅ์์ค IQ
์ข
์์ฑ ํ์ธ
์ข
์์ฑ ์ถ์
๊ฒฐ๊ณผ
dom4j:1.6.1
๋์
๋์
๋์
TRUE
log4j-์ฝ์ด: 2.3
๋์
๋์
๋์
TRUE
log4j: 1.2.14
๋์
๋์
-
TRUE
์ปค๋จผ์ฆ-์ปฌ๋ ์
:3.1
๋์
๋์
๋์
TRUE
์ปค๋จผ์ฆ-ํ์ผ์
๋ก๋:1.3.2
๋์
๋์
๋์
TRUE
์ปค๋จผ์ฆ-beanutils:1.7.0
๋์
๋์
๋์
TRUE
์ปค๋จผ์ฆ ์ฝ๋ฑ:1:10
์ค๊ธ
-
-
TRUE
mysql-์ปค๋ฅํฐ-java:5.1.42
๋์
๋์
๋์
TRUE
์คํ๋ง ํํ:3.0.5
๋์
๊ตฌ์ฑ์์๋ฅผ ์ฐพ์ ์ ์์
TRUE
์คํ๋ง ์น:3.0.5
๋์
๊ตฌ์ฑ์์๋ฅผ ์ฐพ์ ์ ์์
๋์
TRUE
์คํ๋ง ์ปจํ
์คํธ:3.0.5
์ค๊ธ
๊ตฌ์ฑ์์๋ฅผ ์ฐพ์ ์ ์์
-
TRUE
์คํ๋ง ์ฝ์ด:3.0.5
์ค๊ธ
๋์
๋์
TRUE
struts2-config-browser-plugin:2.3.30
์ค๊ธ
-
-
TRUE
์คํ๋ง-tx:3.0.5
-
๋์
-
๊ทธ๋ฆ๋
์คํธ๋ฟ์ธ ์ฝ์ด:1.3.8
๋์
๋์
๋์
TRUE
xwork-์ฝ์ด: 2.3.30
๋์
-
-
TRUE
struts2-์ฝ์ด: 2.3.30
๋์
๋์
๋์
TRUE
struts-taglib:1.3.8
-
๋์
-
๊ทธ๋ฆ๋
์คํธ๋ฟ์ธ -ํ์ผ-1.3.8
-
๋์
-
๊ทธ๋ฆ๋
๋ถ๋ก B. ์ทจ์ฝ์ ๊ฒฐ๊ณผ
๊ธฐํธ :
- ๊ตฌ์ฑ ์์์ ๋์ - ๋์ ๋ฐ ์น๋ช ์ ์์ค์ ์ทจ์ฝ์ฑ
- ์ค๊ฐ โ ๊ตฌ์ฑ ์์์ ์ค๊ฐ ์ฌ๊ฐ๋ ์ทจ์ฝ์ฑ
- TRUE - ์ฐธ ๊ธ์ ์ ์ธ ๋ฌธ์
- FALSE - ๊ฑฐ์ง์์ฑ ๋ฌธ์
๊ตฌ์ฑ ์์
๋ฅ์์ค IQ
์ข
์์ฑ ํ์ธ
์ข
์์ฑ ์ถ์
์ฌ๊ฐ๋
๊ฒฐ๊ณผ
๋
ผํ
dom4j:1.6.1
CVE-2018-1000632
CVE-2018-1000632
CVE-2018-1000632
๋์
TRUE
CVE-2020-10683
CVE-2020-10683
CVE-2020-10683
๋์
TRUE
log4j-์ฝ์ด: 2.3
CVE-2017-5645
CVE-2017-5645
CVE-2017-5645
๋์
TRUE
CVE-2020-9488
CVE-2020-9488
CVE-2020-9488
๋ฎ์
TRUE
log4j: 1.2.14
CVE-2019-17571
CVE-2019-17571
-
๋์
TRUE
-
CVE-2020-9488
-
๋ฎ์
TRUE
SONATYPE-2010-0053
-
-
๋์
TRUE
์ปค๋จผ์ฆ-์ปฌ๋ ์
:3.1
-
CVE-2015-6420
CVE-2015-6420
๋์
๊ทธ๋ฆ๋
์ค๋ณต RCE(OSSINDEX)
-
CVE-2017-15708
CVE-2017-15708
๋์
๊ทธ๋ฆ๋
์ค๋ณต RCE(OSSINDEX)
SONATYPE-2015-0002
RCE(OSSINDEX)
RCE(์ค์ ๋ฑ์ค)
๋์
TRUE
์ปค๋จผ์ฆ-ํ์ผ์
๋ก๋:1.3.2
CVE-2016-1000031
CVE-2016-1000031
CVE-2016-1000031
๋์
TRUE
SONATYPE-2014-0173
-
-
์ค๊ธ
TRUE
์ปค๋จผ์ฆ-beanutils:1.7.0
CVE-2014-0114
CVE-2014-0114
CVE-2014-0114
๋์
TRUE
-
CVE-2019-10086
CVE-2019-10086
๋์
๊ทธ๋ฆ๋
์ทจ์ฝ์ ์ ๋ฒ์ 1.9.2+์๋ง ์ ์ฉ๋ฉ๋๋ค.
์ปค๋จผ์ฆ ์ฝ๋ฑ:1:10
SONATYPE-2012-0050
-
-
์ค๊ธ
TRUE
mysql-์ปค๋ฅํฐ-java:5.1.42
CVE-2018-3258
CVE-2018-3258
CVE-2018-3258
๋์
TRUE
CVE-2019-2692
CVE-2019-2692
-
์ค๊ธ
TRUE
-
CVE-2020-2875
-
์ค๊ธ
๊ทธ๋ฆ๋
CVE-2019-2692์ ๋์ผํ ์ทจ์ฝ์ ์ด์ง๋ง "๊ณต๊ฒฉ์ด ์ถ๊ฐ ์ ํ์ ์๋นํ ์ํฅ์ ๋ฏธ์น ์ ์์"์ด ์ถ๊ฐ๋จ
-
CVE-2017-15945
-
๋์
๊ทธ๋ฆ๋
mysql-connector-java์๋ ์ ์ฉ๋์ง ์์ต๋๋ค.
-
CVE-2020-2933
-
๋ฎ์
๊ทธ๋ฆ๋
CVE-2020-2934์ ๋ณต์ ๋จ
CVE-2020-2934
CVE-2020-2934
-
์ค๊ธ
TRUE
์คํ๋ง ํํ:3.0.5
CVE-2018-1270
๊ตฌ์ฑ์์๋ฅผ ์ฐพ์ ์ ์์
-
๋์
TRUE
CVE-2018-1257
-
-
์ค๊ธ
TRUE
์คํ๋ง ์น:3.0.5
CVE-2016-1000027
๊ตฌ์ฑ์์๋ฅผ ์ฐพ์ ์ ์์
-
๋์
TRUE
CVE-2014-0225
-
CVE-2014-0225
๋์
TRUE
CVE-2011-2730
-
-
๋์
TRUE
-
-
CVE-2013-4152
์ค๊ธ
TRUE
CVE-2018-1272
-
-
๋์
TRUE
CVE-2020-5398
-
-
๋์
TRUE
IQ์ ์ ๋ฆฌํ ์ฌ๋ก: "Sonatype ๋ณด์ ์ฐ๊ตฌํ์ ์ด ์ทจ์ฝ์ ์ด ๊ถ๊ณ ์ ๋ช
์๋ 3.0.2.x๊ฐ ์๋๋ผ 5.0.RELEASE ๋ฒ์ ์ ๋์
๋์์์ ๋ฐ๊ฒฌํ์ต๋๋ค."
CVE-2013-6429
-
-
์ค๊ธ
TRUE
CVE-2014-0054
-
CVE-2014-0054
์ค๊ธ
TRUE
CVE-2013-6430
-
-
์ค๊ธ
TRUE
์คํ๋ง ์ปจํ
์คํธ:3.0.5
CVE-2011-2894
๊ตฌ์ฑ์์๋ฅผ ์ฐพ์ ์ ์์
-
์ค๊ธ
TRUE
์คํ๋ง ์ฝ์ด:3.0.5
-
CVE-2011-2730
CVE-2011-2730
๋์
TRUE
CVE-2011-2894
CVE-2011-2894
CVE-2011-2894
์ค๊ธ
TRUE
-
-
CVE-2013-4152
์ค๊ธ
๊ทธ๋ฆ๋
spring-web์์ ๋์ผํ ์ทจ์ฝ์ ์ ์ค๋ณต
-
CVE-2013-4152
-
์ค๊ธ
๊ทธ๋ฆ๋
์ด ์ทจ์ฝ์ ์ spring-web ๊ตฌ์ฑ ์์์ ๊ด๋ จ์ด ์์ต๋๋ค.
-
CVE-2013-6429
CVE-2013-6429
์ค๊ธ
๊ทธ๋ฆ๋
์ด ์ทจ์ฝ์ ์ spring-web ๊ตฌ์ฑ ์์์ ๊ด๋ จ์ด ์์ต๋๋ค.
-
CVE-2013-6430
-
์ค๊ธ
๊ทธ๋ฆ๋
์ด ์ทจ์ฝ์ ์ spring-web ๊ตฌ์ฑ ์์์ ๊ด๋ จ์ด ์์ต๋๋ค.
-
CVE-2013-7315
CVE-2013-7315
์ค๊ธ
๊ทธ๋ฆ๋
CVE-2013-4152์์ ๋ถํ . + ์ทจ์ฝ์ ์ spring-web ๊ตฌ์ฑ ์์์ ๊ด๋ จ์ด ์์ต๋๋ค.
-
CVE-2014-0054
CVE-2014-0054
์ค๊ธ
๊ทธ๋ฆ๋
์ด ์ทจ์ฝ์ ์ spring-web ๊ตฌ์ฑ ์์์ ๊ด๋ จ์ด ์์ต๋๋ค.
-
CVE-2014-0225
-
๋์
๊ทธ๋ฆ๋
์ด ์ทจ์ฝ์ ์ spring-web ๊ตฌ์ฑ ์์์ ๊ด๋ จ์ด ์์ต๋๋ค.
-
-
CVE-2014-0225
๋์
๊ทธ๋ฆ๋
spring-web์์ ๋์ผํ ์ทจ์ฝ์ ์ ์ค๋ณต
-
CVE-2014-1904
CVE-2014-1904
์ค๊ธ
๊ทธ๋ฆ๋
์ด ์ทจ์ฝ์ ์ spring-web-mvc ๊ตฌ์ฑ ์์์ ๊ด๋ จ์ด ์์ต๋๋ค.
-
CVE-2014-3625
CVE-2014-3625
์ค๊ธ
๊ทธ๋ฆ๋
์ด ์ทจ์ฝ์ ์ spring-web-mvc ๊ตฌ์ฑ ์์์ ๊ด๋ จ์ด ์์ต๋๋ค.
-
CVE-2016-9878
CVE-2016-9878
๋์
๊ทธ๋ฆ๋
์ด ์ทจ์ฝ์ ์ spring-web-mvc ๊ตฌ์ฑ ์์์ ๊ด๋ จ์ด ์์ต๋๋ค.
-
CVE-2018-1270
CVE-2018-1270
๋์
๊ทธ๋ฆ๋
spring-expression / spring-messages์ ๊ฒฝ์ฐ
-
CVE-2018-1271
CVE-2018-1271
์ค๊ธ
๊ทธ๋ฆ๋
์ด ์ทจ์ฝ์ ์ spring-web-mvc ๊ตฌ์ฑ ์์์ ๊ด๋ จ์ด ์์ต๋๋ค.
-
CVE-2018-1272
CVE-2018-1272
๋์
TRUE
CVE-2014-3578
CVE-2014-3578(OSSINDEX)
CVE-2014-3578
์ค๊ธ
TRUE
SONATYPE-2015-0327
-
-
๋ฎ์
TRUE
struts2-config-browser-plugin:2.3.30
SONATYPE-2016-0104
-
-
์ค๊ธ
TRUE
์คํ๋ง-tx:3.0.5
-
CVE-2011-2730
-
๋์
๊ทธ๋ฆ๋
์ด ์ทจ์ฝ์ ์ spring-tx์ ์ ์ฉ๋์ง ์์ต๋๋ค.
-
CVE-2011-2894
-
๋์
๊ทธ๋ฆ๋
์ด ์ทจ์ฝ์ ์ spring-tx์ ์ ์ฉ๋์ง ์์ต๋๋ค.
-
CVE-2013-4152
-
์ค๊ธ
๊ทธ๋ฆ๋
์ด ์ทจ์ฝ์ ์ spring-tx์ ์ ์ฉ๋์ง ์์ต๋๋ค.
-
CVE-2013-6429
-
์ค๊ธ
๊ทธ๋ฆ๋
์ด ์ทจ์ฝ์ ์ spring-tx์ ์ ์ฉ๋์ง ์์ต๋๋ค.
-
CVE-2013-6430
-
์ค๊ธ
๊ทธ๋ฆ๋
์ด ์ทจ์ฝ์ ์ spring-tx์ ์ ์ฉ๋์ง ์์ต๋๋ค.
-
CVE-2013-7315
-
์ค๊ธ
๊ทธ๋ฆ๋
์ด ์ทจ์ฝ์ ์ spring-tx์ ์ ์ฉ๋์ง ์์ต๋๋ค.
-
CVE-2014-0054
-
์ค๊ธ
๊ทธ๋ฆ๋
์ด ์ทจ์ฝ์ ์ spring-tx์ ์ ์ฉ๋์ง ์์ต๋๋ค.
-
CVE-2014-0225
-
๋์
๊ทธ๋ฆ๋
์ด ์ทจ์ฝ์ ์ spring-tx์ ์ ์ฉ๋์ง ์์ต๋๋ค.
-
CVE-2014-1904
-
์ค๊ธ
๊ทธ๋ฆ๋
์ด ์ทจ์ฝ์ ์ spring-tx์ ์ ์ฉ๋์ง ์์ต๋๋ค.
-
CVE-2014-3625
-
์ค๊ธ
๊ทธ๋ฆ๋
์ด ์ทจ์ฝ์ ์ spring-tx์ ์ ์ฉ๋์ง ์์ต๋๋ค.
-
CVE-2016-9878
-
๋์
๊ทธ๋ฆ๋
์ด ์ทจ์ฝ์ ์ spring-tx์ ์ ์ฉ๋์ง ์์ต๋๋ค.
-
CVE-2018-1270
-
๋์
๊ทธ๋ฆ๋
์ด ์ทจ์ฝ์ ์ spring-tx์ ์ ์ฉ๋์ง ์์ต๋๋ค.
-
CVE-2018-1271
-
์ค๊ธ
๊ทธ๋ฆ๋
์ด ์ทจ์ฝ์ ์ spring-tx์ ์ ์ฉ๋์ง ์์ต๋๋ค.
-
CVE-2018-1272
-
์ค๊ธ
๊ทธ๋ฆ๋
์ด ์ทจ์ฝ์ ์ spring-tx์ ์ ์ฉ๋์ง ์์ต๋๋ค.
์คํธ๋ฟ์ธ ์ฝ์ด:1.3.8
-
CVE-2011-5057(OSSINDEX)
์ค๊ธ
ํ์ฌ
Struts 2์ ๋ํ ์ทจ์ฝ์
-
CVE-2012-0391(OSSINDEX)
CVE-2012-0391
๋์
๊ทธ๋ฆ๋
Struts 2์ ๋ํ ์ทจ์ฝ์
-
CVE-2014-0094(OSSINDEX)
CVE-2014-0094
์ค๊ธ
๊ทธ๋ฆ๋
Struts 2์ ๋ํ ์ทจ์ฝ์
-
CVE-2014-0113(OSSINDEX)
CVE-2014-0113
๋์
๊ทธ๋ฆ๋
Struts 2์ ๋ํ ์ทจ์ฝ์
CVE-2016-1182
3VE-2016-1182
-
๋์
TRUE
-
-
CVE-2011-5057
์ค๊ธ
๊ทธ๋ฆ๋
Struts 2์ ๋ํ ์ทจ์ฝ์
-
CVE-2012-0392(OSSINDEX)
CVE-2012-0392
๋์
๊ทธ๋ฆ๋
Struts 2์ ๋ํ ์ทจ์ฝ์
-
CVE-2012-0393(OSSINDEX)
CVE-2012-0393
์ค๊ธ
๊ทธ๋ฆ๋
Struts 2์ ๋ํ ์ทจ์ฝ์
CVE-2015-0899
CVE-2015-0899
-
๋์
TRUE
-
CVE-2012-0394
CVE-2012-0394
์ค๊ธ
๊ทธ๋ฆ๋
Struts 2์ ๋ํ ์ทจ์ฝ์
-
CVE-2012-0838(OSSINDEX)
CVE-2012-0838
๋์
๊ทธ๋ฆ๋
Struts 2์ ๋ํ ์ทจ์ฝ์
-
CVE-2013-1965(OSSINDEX)
CVE-2013-1965
๋์
๊ทธ๋ฆ๋
Struts 2์ ๋ํ ์ทจ์ฝ์
-
CVE-2013-1966(OSSINDEX)
CVE-2013-1966
๋์
ํ์ฌ
Struts 2์ ๋ํ ์ทจ์ฝ์
-
CVE-2013-2115
CVE-2013-2115
๋์
ํ์ฌ
Struts 2์ ๋ํ ์ทจ์ฝ์
-
CVE-2013-2134(OSSINDEX)
CVE-2013-2134
๋์
ํ์ฌ
Struts 2์ ๋ํ ์ทจ์ฝ์
-
CVE-2013-2135(OSSINDEX)
CVE-2013-2135
๋์
ํ์ฌ
Struts 2์ ๋ํ ์ทจ์ฝ์
CVE-2014-0114
CVE-2014-0114
-
๋์
TRUE
-
CVE-2015-2992
CVE-2015-2992
์ค๊ธ
๊ทธ๋ฆ๋
Struts 2์ ๋ํ ์ทจ์ฝ์
-
CVE-2016-0785(OSSINDEX)
CVE-2016-0785
๋์
๊ทธ๋ฆ๋
Struts 2์ ๋ํ ์ทจ์ฝ์
CVE-2016-1181
CVE-2016-1181
-
๋์
TRUE
-
CVE-2016-4003(OSSINDEX)
CVE-2016-4003
๋์
๊ทธ๋ฆ๋
Struts 2์ ๋ํ ์ทจ์ฝ์
xwork-core:2.3.30
CVE-2017-9804
-
-
๋์
TRUE
SONATYPE-2017-0173
-
-
๋์
TRUE
CVE-2017-7672
-
-
๋์
๊ทธ๋ฆ๋
CVE-2017-9804๋ก ๋ ๋ฐฐ ์ฆ๊ฐ
SONATYPE-2016-0127
-
-
๋์
TRUE
struts2-์ฝ์ด:2.3.30
-
CVE-2016-6795
CVE-2016-6795
๋์
TRUE
-
CVE-2017-9787
CVE-2017-9787
๋์
TRUE
-
CVE-2017-9791
CVE-2017-9791
๋์
TRUE
-
CVE-2017-9793
-
๋์
๊ทธ๋ฆ๋
CVE-2018-1327์ ๋ณต์ ๋จ
-
CVE-2017-9804
-
๋์
TRUE
-
CVE-2017-9805
CVE-2017-9805
๋์
TRUE
CVE-2016-4003
-
-
์ค๊ธ
๊ทธ๋ฆ๋
Apache Struts 2.x์์ 2.3.28(๋ฒ์ 2.3.30)๊น์ง ์ ์ฉ๋ฉ๋๋ค. ๊ทธ๋ฌ๋ ์ค๋ช
์ ๋ฐ๋ฅด๋ฉด CVE๋ JRE 2 ์ดํ๋ฅผ ์ฌ์ฉํ๋ ํ Struts 1.7์ ๋ชจ๋ ๋ฒ์ ์์ ์๋ํฉ๋๋ค. ๋ถ๋ช
ํ ๊ทธ๋ค์ ์ฌ๊ธฐ์ ์ฐ๋ฆฌ๋ฅผ ์ฌ๋ณดํํ๊ธฐ๋ก ๊ฒฐ์ ํ์ง๋ง FALSE์ ๋ ๊ฐ๊น์ต๋๋ค.
-
CVE-2018-1327
CVE-2018-1327
๋์
TRUE
CVE-2017-5638
CVE-2017-5638
CVE-2017-5638
๋์
TRUE
2017๋
Equifax์์ ๊ณต๊ฒฉ์๊ฐ ์
์ฉํ ๋์ผํ ์ทจ์ฝ์
CVE-2017-12611
CVE-2017-12611
-
๋์
TRUE
CVE-2018-11776
CVE-2018-11776
CVE-2018-11776
๋์
TRUE
struts-taglib:1.3.8
-
CVE-2012-0394
-
์ค๊ธ
๊ทธ๋ฆ๋
struts2-core์ ๊ฒฝ์ฐ
-
CVE-2013-2115
-
๋์
๊ทธ๋ฆ๋
struts2-core์ ๊ฒฝ์ฐ
-
CVE-2014-0114
-
๋์
๊ทธ๋ฆ๋
commons-beanutils์ ๊ฒฝ์ฐ
-
CVE-2015-0899
-
๋์
๊ทธ๋ฆ๋
taglib์ ๊ด๋ จ ์์
-
CVE-2015-2992
-
์ค๊ธ
๊ทธ๋ฆ๋
struts2-core ๊ด๋ จ
-
CVE-2016-1181
-
๋์
๊ทธ๋ฆ๋
taglib์ ๊ด๋ จ ์์
-
CVE-2016-1182
-
๋์
๊ทธ๋ฆ๋
taglib์ ๊ด๋ จ ์์
์คํธ๋ฟ์ธ -ํ์ผ-1.3.8
-
CVE-2012-0394
-
์ค๊ธ
๊ทธ๋ฆ๋
struts2-core์ ๊ฒฝ์ฐ
-
CVE-2013-2115
-
๋์
๊ทธ๋ฆ๋
struts2-core์ ๊ฒฝ์ฐ
-
CVE-2014-0114
-
๋์
๊ทธ๋ฆ๋
commons-beanutils์์
-
CVE-2015-0899
-
๋์
๊ทธ๋ฆ๋
ํ์ผ์๋ ์ ์ฉ๋์ง ์์ต๋๋ค.
-
CVE-2015-2992
-
์ค๊ธ
๊ทธ๋ฆ๋
struts2-core์ ๊ฒฝ์ฐ
-
CVE-2016-1181
-
๋์
๊ทธ๋ฆ๋
taglib์ ๊ด๋ จ ์์
-
CVE-2016-1182
-
๋์
๊ทธ๋ฆ๋
taglib์ ๊ด๋ จ ์์
์ถ์ฒ : habr.com