inufaker14
commented
2 years ago log4shell 보고 놀란 가슴 sping4shell 보고 놀랐으나 생각보다 익스플로잇 조건이 까다로워서 다행입니다. 자바가 문제가 많은 거 같은데 자바를 버리고 php나 루비, 장고로 다 바꿨으면 좋겠네요.
Closed utterances-bot closed 2 years ago
inufaker14
commented
2 years ago log4shell 보고 놀란 가슴 sping4shell 보고 놀랐으나 생각보다 익스플로잇 조건이 까다로워서 다행입니다. 자바가 문제가 많은 거 같은데 자바를 버리고 php나 루비, 장고로 다 바꿨으면 좋겠네요.
hahwul
commented
2 years ago @inufaker14 그나마 다행이었죠 😊 어떤 언어든 킬러 앱에서 취약점이 없을 리는 만무하니 빠르게 잘 대응하는 게 최선일 거예요. (루비가 보여서 그런데, 사실 Rails도 Dev groups 등에서 피드 받아보면 어마어마합니다. 조용히 지나가는 게 신기할 뿐이죠.)
Twodragon0
commented
2 years ago 굉장히 큰 이슈로 주의 단계 였으나.. 다행히 JDK9 버전 이상인 서비스들이 많이 없더라구요 ㅎㅎ 작년부터 취약점 이슈와 해킹 사건사고가 점점 많아지는 것 같은 느낌이...?
hahwul
commented
2 years ago @Twodragon0 빙고! 전에는 SBOM, DevSecOps 같은 개념들이 더 나은 보안을 위한 느낌이였으면, 지금은 점점 필수가 되어가는 기분이긴하네요 😵💫
Spring4Shell RCE 취약점 (CVE-2022-22965)
지난 주 Spring4Shell 취약점으로 인해 인터넷이 또 불탈 뻔 했습니다. 다행히 Log4Shell 보단 재현하기 어렵다는 문제로 무난하게 지나갔는데요. 겸사겸사 좀 늦었지만 이슈 정리해서 글로 올려볼까 합니다. Spring4Shell JDK 9버전 이상의 Spring Core에서 RCE(Remote Code Execution)이 가능한 취약점입니다. 공개 당시 0-d
https://www.hahwul.com/2022/04/05/spring4shell/