* 21.12.20 업데이트
o Apache 'Log4j' 라이브러리에서 심각한 보안 취약점이 발견된 바,
피해예방을 위해 보안업데이트 하시기 바랍니다.
o 취약점 정보
- Apache Log4j 2에 존재하는 원격코드실행 취약점(CVE-2021-44228, CVSS 10.0)
- Apache Log4j 2에 존재하는 원격코드실행 취약점(CVE-2021-45046, CVSS 9.0)
- Apache Log4j 1.2에 존재하는 원격코드실행 취약점(CVE-2021-4104, CVSS 8.1)
- Apache Log4j 2에 존재하는 서비스거부 취약점(CVE-2021-45105, CVSS 7.5)
o 영향을 받는 Log4j 버전
- CVE-2021-44228
* 2.0-beta9 ~ 2.14.1 버전 (Log4j 2.12.2 버전은 제외)
- CVE-2021-45046
* 2.0-beta9 ~ 2.12.1 및 2.13.0 ~ 2.15.0 버전
- CVE-2021-4104
* 1.2 버전
** JMSAppender 미사용시 취약하지 않으므로 해당 기능사용 여부 확인
- CVE-2021-45105
* 2.0-beta9 ~ 2.12.16 버전
** Log4j-core JAR 파일만 취약, Log4j-core JAR파일 없이 Log4j-api JAR파일만 사용하는 경우 취약점 영향 없음
o 조치방안
- CVE-2021-44228, CVE-2021-45046
* Java 8 : Log4j 2.16.0으로 업데이트
*Java 7 : Log4j 2.12.2으로 업데이트
** 업데이트 불가능시, JndiLookup 클래스를 경로에서 제거
- CVE-2021-4104
* JMSAppender 사용여부 확인 후 해당기능 중지
- CVE-2021-45105
* Java 8 : Log4j 2.17.0으로 업데이트
** 업데이트 불가능시, PatternLayout에서 ${ctx:loginId} 또는 $${ctx:loginId}를 (%X, %mdc, or %MDC)로 변경하거나, ${ctx:loginId} 또는 $${ctx:loginId}를 제거
[참고사이트]
o 조치 및 대응방안(한국인터넷진흥원)
https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389
https://www.boho.or.kr/data/guideView.do?bulletin_writing_sequence=36390
o 취약점
1. Apache Log4j 보안취약점 및 조치방안(최신 내용 지속 참조필요)
https://logging.apache.org/log4j/2.x/security.html
2. CVE-2021-44228
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
3. CVE-2021-45046
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046
4. CVE-2021-4104
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4104
5. CVE-2021-45105
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105
o 신규버전 log4j 등 다운로드
- https://logging.apache.org/log4j/2.x/download.html
- https://archive.apache.org/dist/logging/log4j/2.12.2/
