Log4j 2.x 버전 취약점 내용 및 대응방안

Log4j 2.x 버전에서 취약점이 발견되어 빠른 보안 조치가 필요합니다. Log4j 1.x 버전이라 괜찮다고 넘기지 마시고 2015년에 기술지원이 끝났으므로 업그레이드를 권장합니다.💻

1. 개요

아파치 소프트웨어 재단은 자사의 log4j 2에서 발생하는 취약점을 해결한 보안 업데이트 권고

공격자는 해당 취약점을 이용하여 악성코드 감염 등의 피해를 발생시킬 수 있으므로, 최신 버전으로 업데이트 권고

- Log4j는 전자정부 표준프레임워크 실행환경 공통기반에서 제공중

2. 주요 내용

- 원격코드 실행 취약점 (CVE-2021-44228)

- 서비스 거부 취약점 (CVE-2021-45046)

- 원격코드 실행 취약점 (CVE-2021-4104)

3. 영향을 받는 버전

가. 원격코드 실행 취약점 (CVE-2021-44228) : 2.0-beta9 ~ 2.14.1 모든 버전

나. 서비스 거부 취약점 (CVE-2021-45046) : 2.0-beta9 ~ 2.12.1, 2.13.0~2.15.0

다. 원격코드 실행 취약점 (CVE-2021-4104) : 1.2

  * JMSAppender를 사용하지 않는 경우 취약점 영향 없음.

 * Log4j 1.x버전 사용자의 경우 추가적인 업그레이드 지원 중지로 인해 다른 보안 위협에 노출될 가능성이 높아 최신버전 업데이트 적용 권고 

4. 대응방안

- 제조사 홈페이지를 통해 최신버전으로 업데이트 적용

- 원격코드 실행 취약점 (CVE-2021-44228) , 서비스 거부 취약점 (CVE-2021-45046)

JAVA 8 : Log4j 2.16.0 으로 업데이트

JAVA 7 : Log4j 2.12.2 으로 업데이트

- 원격코드 실행 취약점 (CVE-2021-4104) :

임시조치

JndiLookup 클래스를 Log4j 1.2 jar에서 JndiLookup.class 를 삭제하고 다시 묶어 사용.

정식조치

JAVA 8 : Log4j 2.16.0 으로 업데이트

JAVA 7 : Log4j 2.12.2 으로 업데이트