반응형
#1. log4j 신규 취약점 발견
- Apache(아파치) 사에서 Log4j 제로데이 취약점을 조치하기 위해 상위 버전으로 출시하였던 2.16.0 버전에서 신규 취약점이 발견되었다고 12월 18일 발표하였습니다.
- CVE-2021-45105 취약점으로 2.16.0 버전에서 발생합니다.
- Log4j를 사용하는 프로그램에서 layout pattern과 쓰레드 컨텍스트 기능을 사용하는 경우 발생할 수 있다고 합니다.
#2. 영향을 받는 버전
- 2.0-beta9 ~ 2.16.0 모든 버전
#3. 해결 방안
- 12월 18일 Log4j 2.17.0가 발표되었습니다.
- 제조사 홈페이지를 통해 Log4j 2.17.0 이상 최신 버전 (Java8 이상)으로 업그레이드를 하여 해결할 수 있다고 합니다.
- Java 7 버전은 아직 제공하지 않으며 제공 예정에 있다고 합니다.
- 1.x 버전 대를 사용하는 경우 역시나 2.17.0 버전까지 업그레이드를 진행해야 할 것으로 보입니다.
- 출처 : https://logging.apache.org/log4j/2.x/download.html
Log4j – Download Apache Log4j 2
<!-- Licensed to the Apache Software Foundation (ASF) under one or more contributor license agreements. See the NOTICE file distributed with this work for additional information regarding copyright ownership. The ASF licenses this file to You under the Apa
logging.apache.org
- 취약점 패치가 바로 어려울 경우 'PatternLayout'에서 ${ctx:loginId} 또는 $${ctx:loginId}를 제거 또는 (%X, %mdc, or %MDC)로 변경해야 한다고 합니다.
#4. 관련 사이트
- https://logging.apache.org/log4j/2.x/
- https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36397
- https://www.boannews.com/media/view.asp?idx=103443&page=1&kind=1
반응형
'IT 보안 소식' 카테고리의 다른 글
| Log4j 2 제로데이 취약점 발견 및 조치 방법 (0) | 2021.12.13 |
|---|
