- 2021-12-06 에 Log4j 취약점 발견으로 인한 업데이트 패치하라는 공문이 아파치 페이지에 올라왔습니다.
영향 받는 버전
Log4j 2.0-beta9 이상 2.14.1 이하
Log4j 2 취약점
Apache Log4j2 2.14.1 이전 버전 경우, 로그 메시지 및 매개변수에 사용되는 JNDI 기능은 LDAP 및 기타 JNDI 관련 엔드포인트로 안전하지 않고, 로그 메시지 또는 로그 메시지 매개변수를 제어할 수 있는 공격자는 메시지 조회 대체가 활성화된 경우 LDAP 서버에서 로드된 임의의 코드를 실행할 수 있습니다.
안전한 버전
log4j 2.15.0부터 이 동작은 기본적으로 비활성화 되어 있습니다.
Log4j 2 완하 방법
- 2.0-beta9 ~ 2.10.0
JndiLookup 클래스를 경로에서 제거
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class - 2.10 ~ 2.14.1
시스템 속성 log4j2.formatMsgNoLookups 또는 환경 변수 LOG4J_FORMAT_MSG_NO_LOOKUPS를 true로 설정
취약점 보고
CVE-2021-44228 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
CVE - CVE-2021-44228
Apache Log4j2 <=2.14.1 JNDI features used in configuration, log messages, and parameters do not protect against attacker controlled LDAP and other JNDI related endpoints. An attacker who can control log messages or log message parameters can execute arbitr
cve.mitre.org
관련 출처 :
아파치 공식 패치 공고
https://logging.apache.org/log4j/2.x/security.html
보안나라 패치 공고
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389
'기타' 카테고리의 다른 글
| Apache logback 취약점 발견 CVE-2021-42550 (0) | 2021.12.20 |
|---|---|
| Apache log4j 취약점 Spring boot 패치 방법 gradle (0) | 2021.12.14 |
| [VPN] SoftEther VPN 서버 구축하기 (feat 재택근무) (0) | 2021.12.09 |
댓글