JAVA Apache Log4j 2 보안 업데이트 권고

황제낙엽 2021.12.13 09:37 조회 수 : 137

sitelink1 https://www.boho.or.kr/data/secNoticeVie...ence=36389 
sitelink2  
sitelink3  
sitelink4  
extra_vars5  
extra_vars6  

□ 개요
 o Apache 소프트웨어 재단은 자사의 Log4j 2에서 발생하는 취약점을 해결한 보안 업데이트 권고[1]
 o 공격자는 해당 취약점을 이용하여 악성코드 감염 등의 피해를 발생시킬수 있으므로, 최신 버전으로 업데이트 권고

 
□ 주요 내용
 o Apache Log4j 2*에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)[2]
   * 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티

□ 영향을 받는 버전
 o Apache Log4j 2
   - 2.0-beta9 ~ 2.14.1 모든버전
 o Apache Log4j 2를 사용하는 제품
    ※ 참고 사이트 [4]를 확인하여 해당 제품을 이용 중일 경우, 해당 제조사의 권고에 따라 패치 또는 대응 방안 적용
 
□ 해결방안[1]
 o 2.0-beta9 ~ 2.10.0
   - JndiLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
 o 2.10 ~ 2.14.1
   - log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정
 o 제조사 홈페이지를 통해 최신버전(2.15.0)으로 업데이트 적용[3]

□ 기타 문의사항
 o 한국인터넷진흥원 사이버민원센터: 국번없이 118

[참고사이트]
[1] https://logging.apache.org/log4j/2.x/security.html
[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
[3] https://logging.apache.org/log4j/2.x/download.html
[4] https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

□ 작성 : 침해사고분석단 취약점분석팀

이 게시물을
목록
번호 제목 sitelink1 글쓴이 날짜 조회 수
공지 [계속 추가중] SBOM 용어 정의   황제낙엽 2025.04.10 96
공지 [계속 추가중] Keycloak 용어 및 설정 옵션 정의   황제낙엽 2024.02.02 654
58 Spring Authorization Server 관련 포스트 목록과 인프런 강의   황제낙엽 2023.12.07 113
57 [POST/2023.05.22] OAuth 2.1 Authorization Server (Spring Security) 구축 후기 file https://tech.kakaopay.com/post/spring-oa...-practice/  황제낙엽 2023.12.03 162
56 OAuth 와 JWT 내용 정리 (개념 정의 및 적용 전략) file https://seungwoolog.tistory.com/95  황제낙엽 2023.12.03 174
55 [Copilot, Bard] oauth claim 의 의미   황제낙엽 2023.12.02 116
54 [reference links] windows + let's encrypt https://www.win-acme.com/manual/advanced-use/  황제낙엽 2023.03.23 37588
53 WIN-ACME https://www.win-acme.com/  황제낙엽 2022.09.17 122
» Apache Log4j 2 보안 업데이트 권고 https://www.boho.or.kr/data/secNoticeVie...ence=36389  황제낙엽 2021.12.13 137
51 [Let's Encrypt] certbot 을 이용한 인증서 갱신 실패 기록 https://certbot.eff.org/instructions?ws=other&os=windows  황제낙엽 2021.07.03 149
50 DNS TXT Record 적용 후 조회 명령어 (windows 와 web url)   황제낙엽 2021.07.01 112
49 SSL 인증서 파일 포맷 종류 - crt, cer, csr, pem, der, pfx, p12, jks, key https://www.securesign.kr/guides/kb/54  황제낙엽 2020.07.20 167
48 certbot docker 를 이용한 인증서 발급 및 갱신(Let's Encrypt-DNS를 통해 도메인 인증) file https://lynlab.co.kr/blog/72  황제낙엽 2020.07.14 529
47 Certbot이란 https://lynlab.co.kr/blog/72  황제낙엽 2020.07.14 209
46 Let's Encrypt + Ubuntu 19.10 + Apache 2.4.41 secret https://blogger.pe.kr/824?category=144027  황제낙엽 2020.06.29 1
45 무료 SSL/TLS 인증서 Let's Encrypt(Linux+Apache) secret https://letsencrypt.org/docs/rate-limits/  황제낙엽 2020.04.05 17
44 SNI 기반 HTTPS 사이트 차단 file https://blog.naver.com/aepkoreanet/221465526990  황제낙엽 2020.03.04 172
43 사설인증서 공인인증서 구분 방법 file   황제낙엽 2019.07.16 189
42 Convert Certificate Format SSL 인증서 변환 가이드 https://www.securesign.kr/guides/SSL-Cer...ert-Format  황제낙엽 2019.03.29 200
41 *.key와 *.crt를 PKCS#12(*.pfx, *.p12)로 형식으로 변환하기 https://www.eznbiz.co.kr/help/qna/content/3  황제낙엽 2019.03.29 220
40 HOWTO: DER vs. CRT vs. CER vs. PEM Certificates and How To Convert Them http://info.ssl.com/article.aspx?id=12149  황제낙엽 2019.03.29 876
39 How to convert a certificate file from .crt to .cer? file https://www.sonicwall.com/support/knowle...597576961/  황제낙엽 2019.03.29 3280
쓰기 태그