[CVE-2021-45105] Log4j2.16.0 취약점 (또 추가)
https://www.boannews.com/media/view.asp?idx=103443
[긴급] 로그4j 신규 취약점 ‘CVE-2021-45105’과 패치 ‘Log4j 2.17.0’ 나와
log4j의 신규 취약점과 새로운 패치가 나와 보안담당자들의 시급한 업데이트가 요구된다. 아파치재단은 12월 18일 ‘Log4j 2.16.0’ 버전에서 동작하는 CVE-2021-45105 취약점을 추가로 공개했다. 안랩 ASE
www.boannews.com
Apache.. 혹시 저를 놀리시는 건가요?
1) 취약점 정보
CVE-2021-45105
- Apache Log4j 2에서 발생하는 서비스 거부 취약점
- CVSS 점수 : 7.5
2) 취약버전
- 2.0-beta9 ~ 2.16.0 버전 (Log4j 2.12.3 제외)
3) 대응 방법
- Java 8 : Log4j 2.17.0으로 업데이트
※ log4j-core-*.jar 파일 없이 log4j-api-*.jar 파일만 사용하는 경우 위 취약점의 영향을 받지 않음
- 신규 업데이트가 불가능할 경우 아래의 조치방안으로 조치 적용
※ ${ctx:loginId} 또는 $${ctx:loginId}를 제거
※ PatternLayout에서 ${ctsx:loginId} 또는 $${ctx:loginId}를 (%X, %mdc, or %MDC)로 변경 : 안전하지 않음 확인 (출처 : https://github.com/lunasec-io/lunasec/blob/master/docs/blog/2021-12-14-log4j-zero-day-update-on-CVE-2021-45046.mdx)