스프링 LDAP 보안 패치 - 인증 우회 취약점 수정
Spring LDAP에서 빈 비밀번호 사용 시 인증 우회(Authentication Bypass) 취약점 발견으로 보안 업데이트를 진행함
CVE-2026-41720 보안 취약점을 수정하는 3.3.8, 4.0.4, 4.1.0 버전을 동시 출시함
Spring Boot 2.7.34, 3.3.20, 3.4.17 및 핫픽스 버전(3.5.14.1, 4.0.6.1)에 해당 패치가 포함됨
2.4.x, 3.2.x 버전의 오픈소스 지원이 종료되어 레거시 버전 EOL(End-of-Life) 전환됨
CVE-2026-41720 인증 우회 취약점의 심각성
본 취약점(CVE-2026-41720)은 Spring LDAP의 빈 비밀번호(Empty Password) 처리 로직에서 발생한다. 공격자가 유효한 사용자명과 빈 비밀번호를 제출하여 인증을 우회할 수 있는 구조적 결함이 존재했다.
인증 우회(Authentication Bypass): 유효한 DN(Distinguished Name)만으로 시스템 접근 가능
LDAP 바인딩(LDAP Binding) 검증 미흡: 비밀번호 필드 validation 누락
CVSS 스코어 미공개이나, 인증 관련 취약점은 보안 최우선 대응 대상
Spring LDAP을 활용한 LDAP 인증 시스템 운영 시, 즉각적 버전 업그레이드가 필수적이다.
버전별 지원 정책 및 마이그레이션 경로
공식 발표에 따르면, 오픈소스 사용자를 위한 지원 정책이 다음과 같이 변경되었다.
지원 종료(EOL): Spring LDAP 2.4.x 및 3.2.x
유지보수 대상: 3.3.x, 4.0.x, 4.1.x
상업용 고객은 2.4.5, 3.2.18, 3.3.7.1, 4.0.3.1 버전으로 업데이트 가능
마이그레이션 시 Spring Boot 버전 호환성을 먼저 확인해야 한다. Boot 2.7.x 사용자는 3.3.x, Boot 3.3.x는 4.0.x 또는 4.1.x 연동이 권장된다. 4.1.0의 주요 기능은 별도 문서(What's New)에서 확인 가능하나, 본문에서는 상세 내용 미수록.
Spring Boot 연동 환경에서의 패치 적용 전략
Spring LDAP은 대부분 Spring Boot와 함께 사용되므로, Boot 버전 기준 패치 적용이 일반적이다.
Spring Boot 2.7.34: Spring LDAP 3.3.8 포함
Spring Boot 3.3.20: Spring LDAP 4.0.4 포함
Spring Boot 3.4.17: Spring LDAP 4.1.0 포함
보안 패치 적용 우선순위: 1) Boot 버전 업그레이드, 2) build.gradle/pom.xml 의존성 명시적 업데이트, 3) LDAP 서버 연결 테스트 실행. 핫픽스 버전(3.5.14.1, 4.0.6.1)도 별도 제공되므로 마이그레이션이 즉시 어려운 환경에서는 핫픽스 적용을 검토할 수 있다.
