https://www.ncloud.com/support/notice/all/1252
NAVER CLOUD PLATFORM
cloud computing services for corporations, IaaS, PaaS, SaaS, with Global region and Security Technology Certification
www.ncloud.com
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
CVE - CVE-2021-44228
Apache Log4j2 <=2.14.1 JNDI features used in configuration, log messages, and parameters do not protect against attacker controlled LDAP and other JNDI related endpoints. An attacker who can control log messages or log message parameters can execute arbitr
cve.mitre.org
* 수정 공지 안내
12월 11일에 공지된 'Apache Log4j 2.x 버전 원격 코드 실행 취약점 조치 권고 (0-day 취약점)' 공지 내용이 변경되었습니다.
하기 "3. 보안 권고 사항" 내용 확인하시어 이용에 참고하여 주시기 바랍니다.
안녕하세요, 네이버 클라우드 플랫폼입니다.
Apache Log4j 원격 코드 실행 취약점이 공개되었습니다.
1. 취약점 내용
Apache Log4j 를 이용하여 원격 코드 실행이 가능한 JNDI 인젝션 취약점 입니다. 사용자의 입력으로 발생한 오류메시지 로그를 기록할 때 임의코드 실행이 가능하게 됩니다.
2. 취약점 대상
- Apache Log4j 2.0 이상 2.14.1 이하 버전
- 2.15.0-rc1 버전은 'log4j2.formatMsgNoLookups=true' 가 기본값으로 제공되어 취약하지 않으나 이를 변경하지 않도록 주의
- 취약한 버전에 포함되지 않으면 취약점 없음
3. 보안 권고 사항
1. 제조사 홈페이지를 통해 최신버전(2.15.0)으로 업데이트 적용
2. 소스 수정이 불가능한 경우 아래 설정을 변경하여 조치
** 버전 정보 주의 **
(1) log4j 2.0-beta9 ~ 2.10.0 버전
+JndLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
(2) log4j 2.10.0 ~ 2.14.1 버전
+JVM 매개변수를 아래와 같이 수정
-Dlog4j2.formatMsgNoLookups=true
+또는 config파일에서 logging 패턴 레이아웃을 "%m -> %m{nolookups}" 로 수정
(3) log4j 2.0.0 ~ 2.14.1 버전
+config파일에서 logging 패턴 레이아웃을 "%m -> %m{nolookups}" 로 수정
반응형
'차근차근 > 시큐어코딩(secure coding)' 카테고리의 다른 글
| log4j 취약점 해결방법 (0) | 2021.12.13 |
|---|---|
| 기술안내서 (0) | 2021.12.07 |