Apache Log4J 치명적 보안결함 발견

관련 기사

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.

Apache Log4j 2 에서 발생하는 취약점(CVE-2021-44228)을 통해 악성코드 감염 등의 피해가 발생할 수 있어 최신 버전으로 긴급 업데이트가 필요합니다.

Log4j 2는 Apache Software Foundation에서 개발한 인기 있는 Java 로깅 프레임 워크입니다.

CVE-2021-44228 취약점(Log4Shell)은 치명적인 결함으로 간주되며, CVSS 스코어 10점으로 가장 높은 심각도 입니다.

Log4j는 프로그램을 작성하는 도중에 로그를 남기기 위해 사용되는 자바 기반 로깅 유틸리티 입니다. 이번에 발견된 취약점은 Log4j 2 중에 존재하는 JNDI(Java Naming and Directory Interface) 인젝션 취약점으로 이를 악용하면, 악성 코드 실행(RCE)이 가능하게 됩니다. 

2021년 11월 24일 Alibaba Cloud 보안 팀은 Apache Log4j 2 원격 코드 실행 취약점을 Apache에 공식적으로 보고했습니다. Apache Log4j 2의 일부 기능에는 재귀 분석 기능(recursive analysis functions)이 있기 때문에 공격자가 직접 악성 요청을 구성하여 원격 코드 실행 취약점을 유발할 수 있습니다.

취약점 악용에는 특별한 구성이 필요하지 않으며, Alibaba Cloud 보안팀의 검증결과 Apache Struts2, Apache Solr, Apache Druid, Apache Flink 등이 모두 영향을 받는 것으로 알려졌습니다.

해당 취약점 수준은 심각으로, 사용자 여러분들의 빠른 패치가 필요합니다. 

[연합뉴스] "컴퓨터 역사상 최악 취약점 발견" 전세계 보안업계 화들짝

https://www.yna.co.kr/view/AKR20211211035900009

취약한 제품 버전

Apache Log4j 2 2.0 ~ 2.14.1 모든 버전

취약점 해결 버전(보안 업데이트)

Apache Log4j 2.15 이상 최신 버전으로 업데이트

출처: https://blog.alyac.co.kr/4341 [이스트시큐리티 알약 블로그]

출처: https://blog.alyac.co.kr/4341 [이스트시큐리티 알약 블로그]