1. 문제 발단

데이터 플랫폼을 운영하며 이 며칠 전 Apache Shiro 사용에 대한 보안팀 조사가 있었다.
Apache Shiro 1.12.0 미만의 보안 이슈로 인하여 해당 라이브러리를 사용하는 시스템에 대한 보안팀 권고 사항이 있어 알게 됐다.

2. Zeppelin

Zeppelin 0.10.1 은 현재 Apache Shiro 1.10.0 버전을 사용중이다.

Github Zeppelin Repository - pom.xml

3. 보안 이슈 관련 링크

• https://lists.apache.org/thread/mbv26onkgw9o35rldh7vmq11wpv2t2qk
• https://shiro.apache.org/blog/2023/07/18/apache-shiro-1120-released.html
• https://shiro.apache.org/download.html

4. 버전 업그레이드 기준

1.12.0 또는 2.0.0-alpha-3 버전 이상 업그레이드가 필요하다.