홈
회사소개
공지사항

Apache Log4j 2.x 버전 원격 코드 실행 취약점 조치 권고 (0-day 취약점)

에스유관리자 2021-12-13 15:51
조회 184

* 수정 공지 안내
12월 11일에 공지된 'Apache Log4j 2.x 버전 원격 코드 실행 취약점 조치 권고 (0-day 취약점)' 공지 내용이 변경되었습니다.
하기 "3. 보안 권고 사항" 내용 확인하시어 이용에 참고하여 주시기 바랍니다.



Apache Log4j 원격 코드 실행 취약점이 공개되었습니다.

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228

1. 취약점 내용
Apache Log4j 를 이용하여 원격 코드 실행이 가능한 JNDI 인젝션 취약점 입니다. 사용자의 입력으로 발생한 오류메시지 로그를 기록할 때 임의코드 실행이 가능하게 됩니다.

2. 취약점 대상
- Apache Log4j 2.0 이상 2.14.1 이하 버전
- 2.15.0-rc1 버전은 'log4j2.formatMsgNoLookups=true' 가 기본값으로 제공되어 취약하지 않으나 이를 변경하지 않도록 주의
- 취약한 버전에 포함되지 않으면 취약점 없음

3. 보안 권고 사항
1. 제조사 홈페이지를 통해 최신버전(2.15.0)으로 업데이트 적용

2. 소스 수정이 불가능한 경우 아래 설정을 변경하여 조치
** 버전 정보 주의 **
 (1) log4j 2.0-beta9 ~ 2.10.0 버전
  +JndLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

 (2) log4j 2.10.0 ~ 2.14.1 버전
  +JVM 매개변수를 아래와 같이 수정
   -Dlog4j2.formatMsgNoLookups=true
  +또는 config파일에서 logging 패턴 레이아웃을 "%m -> %m{nolookups}" 로 수정

 (3) log4j 2.0.0 ~ 2.14.1 버전
   +config파일에서 logging 패턴 레이아웃을 "%m -> %m{nolookups}" 로 수정

더욱 편리한 서비스 제공을 위하여 항상 노력하겠습니다.