최근 Log4j2 취약점 설명 및 해결 방안

최근 Log4j2 취약점 설명 및 해결 방안

반응형

최근 위에 기사처럼 Apache Log4j2에서 취약점(CVE-2021-44228)이 발견되었다.

이 취약점은 치명적인 결함으로 간주되며, CVSS 스코어 10점으로 가장 높은 심각도라고 한다.

악성코드 감염 등의 피해가 발생할 수 있어 꼭 최신 버전으로 업데이트 해야한다.

영향을 받는 버전

Apache Log4j 2

- 2.0-beta9 ~ 2.14.1 모든버전

Apache Log4j 2를 사용하는 제품

참고 사이트 를 확인하여 해당 제품을 이용 중일 경우, 해당 제조사의 권고에 따라 패치 또는 대응 방안 적용

해결방안

제조사 홈페이지 를 통해 최신버전(2.15.0)으로 업데이트 적용

※ log4j 1.x버전 사용자의 경우 추가적인 업그레이드 지원 중지로 인해 다른 보안위협에 노출될 가능성이 높아 최신버전 업데이트 적용 권고

최신버전으로 업데이트가 어려운 경우 사용중인 버전확인 후 버전별 조치 적용

pom.xml(Maven) 또는 build.gradle(Gradle) 파일에 log4j-core 버전 확인, 빌드된 라이브러리 버전 확인 후 맞는 해당 버전에 맞는 조치를 취한다.

2.0-beta9 ~ 2.10.0

JndiLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

2.10 ~ 2.14.1

log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정

출처

반응형

from http://devbksheen.tistory.com/179 by ccl(A) rewrite - 2021-12-13 13:27:56