Cryptography 패키지 보안 취약점 문제 #7
Description
ES1팀 서동인 주임입니다.
paramiko등의 패키지에 종속되는 패키지 cryptopraphy의 버전이 >= 1.9.0, < 2.3 일 시에
CVE-2018-10903 High severity
CVE-2018-10903 High severity
CVE-2018-10903 High severity
와 같은 취약점이 발견 될 수 있다는 GitHub security alert 을 받았습니다.
기존에 설치되어있던 버전 2.2.2를 2.3.1 로 바꾸어 테스트 했을 시에 문제가 없음을 확인했으며
requirements.txt 에 있는 cryptography 버전을 2.3.1로 명시하여 커밋하였습니다.
다음의 https://cryptography.io/en/latest/changelog/#v2-3-1 공식 사이트 Changelog 확인 결과 따로 deprecated 된 메소드는 확인되지 않은걸로 봐서 MSF_V2에 없는 기존의 다른 모비젠 모듈들도 cryptography 버전을 2.3.1로 업데이트 하여도 무방할 것으로 확인됩니다.
감사합니다.