반응형
#1. Log4j 2 제로데이 취약점 발견
- Apache(아파치) 사에서 Log4j 2에서 발생하는 취약점을 해결한 보안 업데이트를 진행할 것을 권고했습니다.
- 관련 취약점을 공격자가 악용할 경우 악성코드 감염 등의 피해를 발생시킬 수 있어 빠른 조치가 필요해 보입니다.
- Apache Log4j 2* 버전에서 발생하는 원격 코드 실행 취약점(CVE-2021-44228)
#2. Log4j란?
- Apache(아파치) 사에서 개발한 Log4j는 서비스 운영 및 관리 목적으로 로그 기록을 남기기 위해 사용하는 프로그램입니다.
#3. 영향을 받는 버전
- 2.0-beta9 ~ 2.14.1 모든버전
#4. 해결 방안
2.0-beta9 ~ 2.10.0
- JNDI Lookup 클래스를 경로에서 제거 : zip -q log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
2.10 ~ 2.14.1
- log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정
- 제조사 홈페이지를 통해 최신버전(2.15.0)으로 업데이트 적용
1.* 버전을 사용 중인 경우
- 1.* 버전은 EOS되어 더 이상 지원되지 않고 있습니다.
- Apache 권고 사항으로는 최신 버전(2.15.0)으로 업그레이드 진행하도록 되어 있습니다.
#5. 관련 사이트
- https://logging.apache.org/log4j/2.x/security.html
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
- https://logging.apache.org/log4j/2.x/download.html
Log4j – Download Apache Log4j 2
<!-- Licensed to the Apache Software Foundation (ASF) under one or more contributor license agreements. See the NOTICE file distributed with this work for additional information regarding copyright ownership. The ASF licenses this file to You under the Apa
logging.apache.org
반응형
'IT 보안 소식' 카테고리의 다른 글
| Log4j 신규 취약점 발견, 2.17.0 신규 패치 등장 (0) | 2021.12.20 |
|---|
