보안 전문가들은 최근에 스프링 프레임워크와 관련된 원격 코드 실행(RCE) 취약점 3개(CVE-2022-22965, CVE-2022-22963, CVE-2022-22947)를 식별했습니다. 그 외에도 심각도가 중간 정도인 스프링의 4번째 DoS 취약점 CVE-2022-22950도 있습니다.
이러한 문제가 처음 밝혀진 이후 Udemy 보안 팀은 Udemy 시스템을 검토하고 보호하기 위해 최선을 다하고 있습니다. 현 시점에서 이러한 취약점이 기업 또는 개인 데이터에 부정적인 영향을 미쳤다는 지표는 없습니다.
이와 같이 영향이 큰 고위험 취약점에 대해 Udemy 팀은 필요에 따라 취약 정도 테스트, 네트워크 연결 제한, 소프트웨어 또는 시스템 업데이트 또는 해결책 적용 등 여러 즉각적인 조치를 취합니다. Udemy 보안 및 엔지니어링 팀은 해당 취약점, 공격 시도 및 당사와 계약한 타사로부터의 통지 사례를 확인하기 위해 환경, 주요 하위 프로세서 및 공급업체를 모니터링할 예정입니다.
추가 정보를 입수되는 대로 이 페이지를 통해 업데이트 사항을 제공하겠습니다.Udemy 보안 팀은 보안 연구원의 권고 사항이 변화함에 따라 시스템을 안전하게 보호하기 위해 최선을 다하고 있어 현재 사용자 맞춤 대응은 제공할 수 없습니다. Udemy의 대응 방식에 대한 자세한 정보는 아래 자주 묻는 질문을 참조하시기 바랍니다.
더 안전한 스프링 프레임워크 버전으로 업데이트하셨나요?
이전에 스프링 프레임워크나 관련 제품의 취약한 버전이 사용되었던 각각의 경우, Udemy는 권장되는 최신 버전으로 업그레이드하거나 권장되는 해결책을 구현하는 등 세심한 복원 노력을 기울였습니다. 또한, 전 세계 사내 시스템을 보호하기 위해 다층 방어 기능을 조정했습니다.
언제 복원이 완료될까요?
스프링 프레임워크 취약점 공격 패턴이 진화함에 따라 Udemy 보안 팀은 보안 전문가 및 공급업체의 권고 사항을 모니터링하고 있으며, 이러한 권고 사항이 공유됨에 따라 복원 및 완화 노력을 계속할 것입니다.
고객 데이터가 손상되었나요?
현 시점에서 이 취약점이 기업 또는 개인 데이터에 부정적인 영향을 미쳤다는 지표는 없습니다.
Udemy 환경에서 사용하는 타사 공급업체에 스프링 프레임워크가 미치는 영향에 대해 질문하고 있나요?
Udemy는 주요 Udemy Business 하위 처리자에 연락을 취했으며, 공급업체에서 업데이트를 릴리스함에 따라 툴링 업데이트를 적용했습니다.