Spring Framework RCE 취약점에 대한 설명

TP-Link는 Spring Framework의 RCE 취약점 CVE-2022-22965에 대해 인식하고 있습니다. 공식 정보에 따르면 이 취약점의 전제 조건은 다음과 같습니다.

• Spring Framework: 5.3.0 ~ 5.3.17, 5.2.0 ~ 5.2.19 이전의 미지원 버전은 영향받지 않습니다.
• JDK 9 이상 
• 서블릿 컨테이너 Apache Tomcat 
• WAR로 패키징
• spring-webmvc 또는 spring-webflux 종속성

TP-Link는 고객을 우선으로 합니다. TP-Link는 면밀하게 모니터링하고 취약점을 조사하며 더 많은 권고 사항이 업데이트되는대로 지속적으로 업데이트할 예정입니다.  

잠재적 영향을 받은 TP-Link 제품:

DPMS (DeltaStream PON 관리 시스템)은 Spring Framework를 사용하며 버전 5부터 Java 8 (OpenJDK-8) 이상을 지원합니다. 하지만 Spring Framework의 사용은 위 전제조건을 충족하지 않으며 시뮬레이션/취약점 스캔으로 인해 오류가 발생합니다.

그러나, 취약성의 특징이 보다 일반적인 것을 고려하여, DPMS를 실행하려면 Java 8 (OpenJDK-8)로 다운그레이드하는 것을 권장합니다. TP-Link는 내장된 Spring Framework를 업데이트하여 추후 업데이트에서 취약점을 수정할 예정입니다. 

영향을 받지 않는 TP-Link 제품:

모든 Wi-Fi 공유기

모든 메시 Wi-Fi(Deco)

모든 범위 확장기

모든 전력선 어댑터

모든 모바일 Wi-Fi 제품

모든 SMB 라우터, 스위치, Omada EAP 및 Pharos CPE

모든 VIGI 제품

모든GPON 제품

앱: Tether, Deco, Tapo, Kasa, tpMiFi, Omada

주의사항

권장사항에 따라 조치를 취하지 않으면 이 취약점은 지속될 것입니다. TP-Link는 다음 설명의 권장 사항을 따르지 않아 발생되는 결과에 대해서는 어떤 책임을 지지 않습니다.