[공지]Apache Log4j 보안 업데이트 권고
2021.12.13
안녕하세요. 피앤피시큐어 입니다.
Apache 소프트웨어 재단은 자사의 Log4j 2에서 발생하는 취약점을 해결한 보안 업데이트를 발표 하였습니다. [1]
이번 취약점은 Log4j 2*에서 발생하는 원격코드 실행 취약점으로 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티에서 발생한 취약점입니다.
해당 취약점 패치 대상은 Log4j 2.x 버전을 사용 시 발생하는 취약점으로
자사 솔루션의 경우 2020년 8월 이후 DBSAFER 결재시스템(version 3.3.18) 을 설치한 고객사와 정책 연동 모듈이 적용된 고객사가 패치 대상입니다.
- 패치 대상 버전
– Apache Log4j 2.0-beta9 이상 2.14.1 이하 버전 사용 시
- 취약점 정보
– 공격자가 로그 메시지 또는 로그 메시지 파라미터를 통해 임의의 코드를 실행 가능한 취약점 (CVE-2021-44228, CVSS 10.0) [2]
* 피앤피시큐어의 모든 제품은 로그 데이터의 전처리를 통해서 log4j 관련 취약점 또는 유사 취약점이 동작되지 않도록 사전 조치되어 있습니다.
- Log4j 취약점 패치 파일
– 2021년 12월 13일 업데이트를 통해 취약점 패치가 다음과 같이 제공되었습니다.
– Log4j 최신버전(2.16.0 이상): https://logging.apache.org/log4j/2.x/download.html [3]
- 취약점 보완조치 방안
– 취약점 패치가 어려운 경우 다음의 방법으로 임시 조치하시기 바랍니다.
◾ Log4j 2.10 이상 2.14.1 이하 버전
– 자사 결재시스템의 버전이 3.3.18 이상인 경우 프로퍼티 변경
1) /usr/local/apache/bin/setenv.sh 내에 jvm옵션 하단에 아래 내용 추가 JAVA_OPTS=”$JAVA_OPTS -Dlog4j2.formatMsgNoLookups=true”
2) tomcat 재시작
◾ Log4j 2.0-beta9 이상 2.10.0 미만 버전 (정책 연동 모듈)
– JndiLookup 클래스를 다음과 같이 제거
# zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class [4]
◾ log4j 라이브러리의 취약점이 영구적으로 제거될 수 있도록 패치 진행
– 각 고객사별 지원 엔지니어를 통해 취약점 조치 버전 패치 진행
[참고 사이트]
[1] https://logging.apache.org/log4j/2.x/security.html
[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
[3] https://logging.apache.org/log4j/2.x/download.html
[4] https://access.redhat.com/security/cve/cve-2021-45046