S3 샘플코드에서 org.springframework.cloud:spring-cloud-starter-aws:2.2.6.RELEASE
라이브러리를 사용하는 예제가 많습니다.
테스트해보니 Intellij에서 build.gradle 파일에서 warning이 발생되더군요…
Provides transitive vulnerable dependency maven:com.amazonaws:aws-java-sdk-s3:1.11.792
1. 오류원인
2022년 8월 18일 기준 CVE-2022-31159 취약점이 발견되었기 때문이었습니다.
그러나 해당 패키지는 2021년 2월 기준 업데이트가 종료되었습니다 ㅠㅠ
java-sdk-s3 1.12.261 이전의 S3 TransferManager 구성 요소인 downloadDirectory 메서드 내에는 부분 경로 트래버설
문제가 있습니다
2. 해결책
io.awspring.cloud:spring-cloud-starter-aws 라이브러리를 사용하는 것을 권장합니다.
라이브러리 변경 후 테스트 해보니 소스코드 변경사항 없이 사용 가능한 것으로 보입니다.
secretes manager 의 경우도 구버전 패키지의 경우 취약점이 존재하기 때문에 최신 라이브러리 사용을 권장합니다.
org.springframework.cloud:spring-cloud-starter-aws-secrets-manager-config:2.2.6.RELEASE
gradle 기준 패키지 정보 공유합니다.
//aws
// https://mvnrepository.com/artifact/io.awspring.cloud/spring-cloud-starter-aws
implementation group: 'io.awspring.cloud', name: 'spring-cloud-starter-aws', version: '2.4.0'
// aws secrets manager
// https://mvnrepository.com/artifact/io.awspring.cloud/spring-cloud-starter-aws-secrets-manager-config
implementation group: 'io.awspring.cloud', name: 'spring-cloud-starter-aws-secrets-manager-config', version: '2.4.0'
읽어주셔서 감사합니다.
반응형
최근댓글