CVE-2021-44228 Log4j2 버전 업그레이드 대응 하셨나요?
Apache Log4j 2.15.0 에도 취약점이 나왔습니다..ㅜㅜ
- 취약점 내용
Apache Log4j 2.15.0의 CVE-2021-44228을 해결하기 위한 수정 사항이 기본이 아닌 특정 구성에서 불완전한 것으로 나타났습니다. 이것은 로깅 구성이 컨텍스트 조회(예: $${ctx:loginId}) 또는 스레드 컨텍스트 맵 패턴( %X, %mdc 또는 %MDC) JNDI 조회 패턴을 사용하여 악의적인 입력 데이터를 조작하여 서비스 거부(DOS) 공격을 일으킵니다. Log4j 2.15.0은 기본적으로 JNDI LDAP 조회를 localhost로 제한합니다. 시스템 속성 'log4j2.noFormatMsgLookup'을 'true'로 설정하는 것과 같은 구성과 관련된 이전 완화 조치는 이 특정 취약점을 완화하지 않습니다. Log4j 2.16.0은 메시지 조회 패턴에 대한 지원을 제거하고 기본적으로 JNDI 기능을 비활성화하여 이 문제를 수정합니다.
' log4j2.noFormatMsgLookup=true ' 옵션으로 해결되지 않으며
JNDI 기능을 비활성화해야함
- 대응방법
(1) JNDI 기능 비활성화
# zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
(2) Apache Log4j2.16.0 버전 업그레이드
https://logging.apache.org/log4j/2.x/changes-report.html#a2.16.0
2.16.0 버전은 기본적으로 JNDI가 비활성화 되어있음.
'보안동향' 카테고리의 다른 글
| [단독] KT 고객 유심 복사로 암호화폐 탈취? 국내 첫 심스와핑 의심 피해 발생 (0) | 2022.01.05 |
|---|---|
| [CVE-2021-44244/CVE-2021-44790] Apache HTTPD 취약점 (0) | 2021.12.27 |
| Log4j2 취약 장비 및 소프트웨어 모음 (0) | 2021.12.14 |
| [CVE-2021-44228] Log4j2 취약점 (0) | 2021.12.13 |
| windows 10/11/server 권한 상승 취약점 제로데이 (0) | 2021.11.25 |
