Apache Log4j 취약점(CVE-2021-44228) 이슈

안녕하세요. 로버무트(주) 입니다.

 

지난 주에 Log4j 소프트웨어에 대한 취약점(CVE-2021-44228)이 발견되어, 현재 Apache에서 해당 소프트웨어에 대한 보안 업데이트가 발표된 상태입니다.

 

Log4j는 Java 기반의 오픈소스 소프트웨어로 공격자가 해당 취약점을 이용하여 원격코드 실행 등을 통한 악성코드 감염 피해가 발생할 수 있습니다.

 

Log4j의 취약점에 해당되는 경우에 최대한 빠른 업데이트를 진행하거나, 업데이트가 어려운 경우에 임시조치를 취하시길 권장드립니다.

 

아래는 Log4j 취약점에 대한 버전 및 해결 방안에 정보이니 참고하시기 바랍니다.

 

 

- Log4j 취약점 대상 버전

• Apache Log4j 2,0-beta9 ~ 2.14.1 모든버전

 

- 해결 방안

• 제조사에서 제공된 보안 업데이트 적용
• 제조사 보안 업데이트 페이지 바로가기

• 업데이트가 어려운 경우, 버전 별 임시조치 적용

1. Log4j가 설치된 경로의 “pom.xml” 파일을 오픈하여 “log4j-core”로 검색을 통해 버전 확인
2. (버전 : 2.0beta9 ~ 2.10.0) JndiLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
3. (버전 : 2.10 ~ 2.14.1) log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정

 

- 추가 참고링크

• 각 제조사 별, Log4j 관련 취약점 공지 현황 바로가기
• Windows 및 Linux 등의 Log4j 취약점 탐지 방법 바로가기