2. 지원
기술 문서 - CS366731

Spring 취약점(CVE-2022-22963, CVE-2022-22950, CVE-2022-22965) – Windchill RV&S(이전 Integrity Lifecycle Manager)에 미치는 영향

수정한 날짜: 04-Apr-2025   


참고: 이 문서는 사용자의 편의를 위해 기계 번역 소프트웨어를 사용하여 번역되었습니다. PTC는 이 번역본에 포함된 내용의 신뢰성이나 가독성에 대해 어떠한 보증도 하지 않는다는 점에 유의하시기 바랍니다. 이 문서의 영문 원본 버전을 보려면 여기 클릭하십시오. 기계 번역에 대한 자세한 내용을 보려면 여기 를클릭하십시오.
알려주셔서 감사합니다. 최대한 빠른 시일 내에 번역을 검토하겠습니다.

적용 대상

  • PTC RV&S (formerly Integrity Lifecycle Manager) 12.3.1.0 to 13.0

설명

  • Spring에 대해 0일 중요 RCE(원격 코드 실행)를 포함한 여러 가지 취약성이 보고되었습니다.
  • CVE-2022-22965 (Spring4Shell)
    • CVSS 점수(Black Duck): 9.8(중요)
    • 설명 : JDK 9+에서 실행되는 Spring MVC 또는 Spring WebFlux 애플리케이션은 데이터 바인딩을 통한 원격 코드 실행(RCE)에 취약할 수 있습니다. 특정 익스플로잇을 위해서는 애플리케이션이 WAR 배포로 Tomcat에서 실행되어야 합니다. 애플리케이션이 Spring Boot 실행 파일 jar(기본값)로 배포된 경우 익스플로잇에 취약하지 않습니다. 그러나 이 취약성의 특성은 더 일반적이며 이를 익스플로잇하는 다른 방법이 있을 수 있습니다.
    • 완화책 : Spring Framework 5.3.18 업데이트
    • 적용성 : Winchill RV&S 13.0에 대한 해결책 참조
  • CVE-2022-22963
    • CVSS 점수(VMware) = 5.4
    • 설명 : Spring Cloud Function 버전 3.1.6, 3.2.2 및 이전 지원되지 않는 버전에서 라우팅 기능을 사용할 때 사용자가 특별히 제작된 SpEL을 라우팅 표현식으로 제공할 수 있으며, 이로 인해 로컬 리소스에 액세스할 수 있습니다.
    • 완화책 : 영향을 받는 버전의 사용자는 3.1.7, 3.2.3으로 업그레이드해야 합니다. 다른 단계는 필요하지 않습니다.
    • 적용성 : WRV&S에 적용되지 않음. 영향 없음.
  • CVE-2022-22950
    • CVSS 점수(VMware) = 5.4
    • 설명 : Spring Framework 5.3.0 - 5.3.16 버전 및 이전 지원되지 않는 버전에서는 사용자가 서비스 거부 조건을 발생시킬 수 있는 특수하게 조작된 SpEL 표현식을 제공할 수 있습니다.
    • 완화책 : 영향을 받는 버전의 사용자는 5.3.17+로 업그레이드해야 합니다. 다른 단계는 필요하지 않습니다.
    • 적용성 : 해상도 참조
이는 기술 문서 366731의 PDF 버전이며, 구 버전일 수 있습니다. 최신 버전 CS366731