* 수정 공지 안내
12월 11일에 공지된 'Apache Log4j 2.x 버전 원격 코드 실행 취약점 조치 권고 (0-day 취약점)' 공지 내용이 변경되었습니다.
하기 "3. 보안 권고 사항" 내용 확인하시어 이용에 참고하여 주시기 바랍니다.
Apache Log4j 원격 코드 실행 취약점이 공개되었습니다.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
1. 취약점 내용
Apache Log4j 를 이용하여 원격 코드 실행이 가능한 JNDI 인젝션 취약점 입니다. 사용자의 입력으로 발생한 오류메시지 로그를 기록할 때 임의코드 실행이 가능하게 됩니다.
2. 취약점 대상
- Apache Log4j 2.0 이상 2.14.1 이하 버전
- 2.15.0-rc1 버전은 'log4j2.formatMsgNoLookups=true' 가 기본값으로 제공되어 취약하지 않으나 이를 변경하지 않도록 주의
- 취약한 버전에 포함되지 않으면 취약점 없음
3. 보안 권고 사항
1. 제조사 홈페이지를 통해 최신버전(2.15.0)으로 업데이트 적용
2. 소스 수정이 불가능한 경우 아래 설정을 변경하여 조치
** 버전 정보 주의 **
(1) log4j 2.0-beta9 ~ 2.10.0 버전
+JndLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
(2) log4j 2.10.0 ~ 2.14.1 버전
+JVM 매개변수를 아래와 같이 수정
-Dlog4j2.formatMsgNoLookups=true
+또는 config파일에서 logging 패턴 레이아웃을 "%m -> %m{nolookups}" 로 수정
(3) log4j 2.0.0 ~ 2.14.1 버전
+config파일에서 logging 패턴 레이아웃을 "%m -> %m{nolookups}" 로 수정
더욱 편리한 서비스 제공을 위하여 항상 노력하겠습니다.