반응형
gson 보안 취약점 ( CVE-2022-25647 )
OWASP 취약점 진단이 나와서 정리한다.
현재 사용 버전
gson-2.8.5.jar
보안 취약점 명
CVE-2022-25647
취약점 내용
The package com.google.code.gson:gson before 2.8.9 are vulnerable to Deserialization of Untrusted Data via the writeReplace() method in internal classes, which may lead to DoS attacks.
2.8.9 이전의 com.google.code.gson:gson 패키지는 내부 클래스에서 writeReplace() 메서드를 통해 신뢰할 수 없는 데이터의 역직렬화에 취약하며, 이로 인해 DoS 공격이 발생할 수 있습니다.
maven repository
OWASP의 설명에 나오는바와 같이 2.8.8 버전까지는 보안취약점이 존재한다.
결론
검토버전
최소 버전 : 2.8.9
최대 버전 : 2.10.1
'프로그래밍 기타' 카테고리의 다른 글
| maven java.security.InvalidAlgorithmParameterException (0) | 2023.03.20 |
|---|---|
| 윈도우 maven 초간단 설치 방법 (0) | 2023.03.14 |
| window CMD shudown 명령어 정리 (0) | 2023.01.03 |
| https SSL 인증서 설치 문제 해결 (0) | 2022.11.25 |
| No supported authentication methods available (PuTTY key format too new (0) | 2022.11.15 |
댓글