안녕하세요. 로버무트(주) 입니다.

 

지난 주에 Log4j 소프트웨어에 대한 취약점(CVE-2021-44228)이 발견되어, 현재 Apache에서 해당 소프트웨어에 대한 보안 업데이트가 발표된 상태입니다.

 

Log4j는 Java 기반의 오픈소스 소프트웨어로 공격자가 해당 취약점을 이용하여 원격코드 실행 등을 통한 악성코드 감염 피해가 발생할 수 있습니다.

 

Log4j의 취약점에 해당되는 경우에 최대한 빠른 업데이트를 진행하거나, 업데이트가 어려운 경우에 임시조치를 취하시길 권장드립니다.

 

아래는 Log4j 취약점에 대한 버전 및 해결 방안에 정보이니 참고하시기 바랍니다.

 

 

- Log4j 취약점 대상 버전

  • Apache Log4j 2,0-beta9 ~ 2.14.1 모든버전

 

- 해결 방안

  • 업데이트가 어려운 경우, 버전 별 임시조치 적용
  1. Log4j가 설치된 경로의 “pom.xml” 파일을 오픈하여 “log4j-core”로 검색을 통해 버전 확인
  2. (버전 : 2.0beta9 ~ 2.10.0) JndiLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  3. (버전 : 2.10 ~ 2.14.1) log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정

 

- 추가 참고링크

 

 

Posted by 로버무트
,