링크
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36397
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
이슈
Log4j 2에서 발생하는 취약점에 대해 Apache 소프트웨어 재단이 보안 업데이트를 권고하였습니다.
이는 보안 위협 수준 1~10단계 중 최고 단계인 10단계에 해당한다고 설명하고 있습니다.
공격자는 해당 취약점을 이용하여 정상 서비스 중지 등의 피해를 발생시킬 수 있으므로, 최신 버전으로 업데이트를 권고하였습니다.
JNDI 정보와 LDAP의 정보를 알 수 있다고 합니다.
방안
- Java 8 이상 : Log4j 2.17.1으로 업데이트
- Java 7 : Log4j 2.12.4으로 업데이트[5] - Java 6 : Log4j 2.3.2으로 업데이트[5]
※ log4j-core-*.jar 파일 없이 log4j-api-*.jar 파일만 사용하는 경우 위 취약점의 영향을 받지 않음
후기
현재 온라인상에 나와있는 대처방법으로는 Apache Log4j 보안 업데이트 권고에 있는 취약점 버전을 사용하지 않고, 신규 버전을 사용하는 방법이 있습니다.
이슈가 되는 내용은 해커들의 공격으로 JNDI 정보와 LDAP 정보를 알아낼 수 있다고 합니다.
현재 취약점 버전을 사용하고 있고, 문제가 되는 JNDI와 LDAP를 사용 중이라면 긴급조치를 해야 할 것입니다.
하지만 현재 운영 중인 서버에 JNDI와 LDAP를 사용하고 있지 않다면 어떻게 해야 할까요?
앞으로도 JNDI와 LDAP를 사용하지 않는다면 Log4j 취약점 버전을 그대로 유지해도 될까요?
현재 이슈는 개발자 커뮤니티뿐 아니라 사회적으로 이슈가 되었습니다.
현재 운영 중인 서비스가 있다면 서비스를 이용하는 고객에게 문의가 올 수 있습니다.
답변으로 우리 회사 서비스는 취약점에 포함된 버전을 사용하고 있지만 JNDI와 LDAP를 사용하지 않으니 변경할 예정이 없다고 한다면 고객이 이해할 수 없다고 생각합니다.
고객에게 문의가 왔다면 Log4j 업데이트를 우선순위로 둬서 작업을 진행해야 할 것입니다.
하지만 고객에게 문의가 오지 않는다면 일정을 잡아서 취약점에 해당하는 버전들은 업데이트를 해야 할 것입니다.
감사합니다.
참고사이트
[1] apache 보안업데이트 현황 : https://logging.apache.org/log4j/2.x/security.html
[2] 취약점 정보 : https://nvd.nist.gov/vuln/detail/CVE-2021-45105
[3] 신규버전 다운로드 : https://logging.apache.org/log4j/2.x/download.html
[4] 취약점 정보 : https://nvd.nist.gov/vuln/detail/CVE-2021-44832
[5] Log4j 2.12.4, 2.3.2 다운로드 : https://archive.apache.org/dist/logging/log4j/
'스프링 > LOG' 카테고리의 다른 글
| [LogIn]의 기원 (0) | 2022.01.03 |
|---|