공지사항

긴급 보안 공지 및 안랩의 새로운 소식을 전해 드립니다.

[긴급] Apache Log4j 보안 업데이트 권고

  • 분류고객지원
  • 날짜2021-12-12
  • 조회수31451

안녕하세요 안랩입니다.


Apache
소프트웨어 재단에서는 Log4j(https://logging.apache.org/log4j)소프트웨어의 취약점을 해결하는 보안 업데이트를 발표했습니다.

취약점이 발견된 Log4j는 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티 프로그램입니다. 공격자가 해당 취약점을 이용해 악성코드 감염 등의 피해를 발생시킬 수 있으므로 해당 버전 사용자는 최신 버전으로 업데이트 하시기 바랍니다.

 

대상 버전

Apache Log4j 2.0-beta9 ~ 2.12.1 및 2.13.0 ~ 2.17.0 버전

Apache Log4j 1.2.x의 모든 버전​ 

 

해결된 취약점

Log4j 2.x 버전에서 공격자가 로그 메세지를 통해 원격 코드 실행이 가능한 취약점 (CVE-2021-44228, CVSS 10.0) [2] 

Log4j 2.x 버전에서 공격자가 로그 메세지를 통해 서비스 거부 오류(Denied of Service)를 발생시킬 수 있는 취약점 (CVE-2021-45046, CVSS 3.7) [3] 

Log4j 1.2.x 버전에서 공격자가 로그 메세지를 통해 원격 코드 실행이 가능한 취약점 (CVE-2021-4104) [4]

Log4j 2.x 버전에서 공격자가 로그 메세지를 통해 서비스 거부 오류(Denied of Service)를 발생시킬 수 있는 취약점 (CVE-2021-45105) [6]​

Log4j 2.x 버전에서 공격자가 로그 메세지를 통해 원격 코드 실행이 가능한 취약점 (CVE-2021-44832) [7]

Log4j 1.x 버전에서 로그 메세지를 통해 원격 코드 실행이 가능한 취약점 (CVE-2022-23302) [8]

Log4j 1.x 버전에서 로그 메세지를 통해 SQL Injection 공격 가능한 취약점 (CVE-2022-23305) [8]

Log4j 1.x 버전에서 로그 메세지를 통해 원격 코드 실행이 가능한 취약점 (CVE-2022-23307) [8]

* CVE-2022-23302는 log4j 1.x 버전에서 JMSSink 기능을 사용하는 경우에 발생함

* CVE-2022-23305는 log4j 1.x 버전에서 JMSAppender 기능을 사용하는 경우에 발생함

* CVE-2022-23307는 log4j 1.x 버전에서 chainsaw기능을 사용하는 경우에 발생함 

 

* CVE-2021-45046은 log4j 2.x 버전에서 Pattern Layout에 Context Lookup 또는 Thread Context Lookup 패턴을 사용하는 경우에 발생함

** CVE-2021-4104는 log4j 1.x 버전에서 JMSAppender 기능을 사용하는 경우에 발생함​ 

 

취약점 패치

2021년 12월 28일 업데이트를 통해 취약점 패치가 다음과 같이 제공되었습니다.

 

Java8 이상 : Log4j 2.17.1 이상 최신 버전 

https://logging.apache.org/log4j/2.x/download.html  

 

Java7 : Log4j 2.12.4 버전 

 

​Java6 : Log4j 2.3.2 버전 

 

Log4j 2.17.0 이상 최신 버전 (Java8 이상)

https://logging.apache.org/log4j/2.x/download.html 

 

Log4j 2.12.2 버전 (Java 7)

제공 예정

*Log4j 1.x 버전 사용자의 경우 추가적인 업그레이드 지원 중지로 인해 보안 위협에 노출될 가능성이 높아 최신 버전 업데이트 적용이 권고됩니다.​

**Log4j를 사용하는 관련 소프트웨어의 패치는 참고 사이트 [5] 를 확인하시기 바랍니다. ​​

 

취약점 보완조치

취약점 패치가 어려운 경우 다음의 방법으로 임시 조치하시기 바립니다.
취약점 완화에 대한 보다 자세한 사항은 참고 사이트 문서 [1] 의 "Mitigation" 섹션을 참고하시기 바랍니다.

1)Log4j 2.0-beta9 이상 2.16.0 이하 버전 (Log4j 2.12.2 버전 제외)
JndiLookup 클래스를 다음과 같이 제거하십시오.
# zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

2)Log4j 1.x 버전
Log4J 1.x 에서 JMSAppender 사용 여부 확인 후 해당 기능을 중지하시기 바랍니다.​

- JMSSink 클래스를 다음과 같이 제거하십시오.

1. zip-q d log4j*.jar org/apache/log4j/net/JMSSink.class 

- JDBCAppender 클래스를 다음과 같이 제거하십시오.

1. zip-q d log4j*.jar org/apache/log4j/jdbc/JDBCAppender.class 

- chainsaw 클래스를 다음과 같이 제거하십시오.

1. zip-q d log4j.jar org/apache/log4j/chainsaw/​ 

 

안랩 제품 해당 취약점 대응 현황

해당 취약점 공격 탐지 시그니쳐가 안랩TG/IPX, AIPS, HIPS 제품군에 적용되어 탐지/대응하고 있습니다.

 

참고 사이트

[1] Apache Log4j Security Vulnerabilities

https://logging.apache.org/log4j/2.x/security.html

 

[2] CVE-2021-44228

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228

 

[3] CVE-2021-45046

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046

 

[4] CVE-2021-4104

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4104

 

[5] log4j related software

https://github.com/NCSC-NL/log4shell/tree/main/software​

 

[6] CVE-2021-45105

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105​ 

 

[7] CVE-2021-44832

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44832 

 

[8] Apache Log4j 1.2

https://logging.apache.org/log4j/1.2/​ 

 

 

지금 마케팅 안내 수신 동의하고
선물 받아가세요!

이벤트 내용 더 보기
세미나/제품/이벤트 안내

더 알아보기

개인정보 수집 및 이용 동의서

선물 발송을 위해 아래와 같이 개인정보를 수집 및 사용합니다.
동의를 거부할 수 있으나, 동의 거부 시 이벤트 참여가 불가능 합니다.

  1. ㆍ수집 항목 : 이름, 휴대전화번호
  2. ㆍ수집 목적 : 참여자 중복 확인, 공지 발송, 경품 발송
  3. ㆍ보유기간 : 이벤트 종료 후 지체 없이 파기(단, 당첨자의 경우 경품 배송 후 30일)
  4. ㆍ경품 발송 위탁: 쿠프마케팅 (모바일상품권 발송업체)
참여하기
닫기