KOSA - Apache Log4j 2 보안 업데이트 권고 및 현황 파악 조사
페이지 정보
본문
링크 : 온라인접수 - 한국소프트웨어산업협회 (sw.or.kr)
과학기술정보통신부에서는 Apache Log4j 2(인터넷 로그기록 프로그램) 서비스에 대한 보안취약점이 발견됨에 따라 긴급 보안 업데이트를 권고하고 있습니다.
해당 서비스는 홈페이지의 운영, 관리 등 목적으로 로그기록을 남기기 위해 사용되는 프로그램이며 업데이트를 수행하지 않을 경우 취약점을 악용해 공격자가 원격에서 공격코드를 실행시킬 수 있어 심각한 피해를 입을 수 있습니다.
관련하여 보안취약점 조치에 대한 자세한 사항과 보안공지 내용을 아래와 같이 안내드리니 참고하시어 조치하시기 바랍니다.
또한, 본 보안취약점의 위험성이 높은 만큼 우리 협회 회원사의 Apache Log4j 2(인터넷 로그기록 프로그램) 보안 업데이트 관련 현황을 조사하고 있으니 바쁘시겠지만 잠시 시간을 할애하시어 조사에 참여 부탁드립니다.
감사합니다.
□ 주요 내용
o Apache Log4j 2*에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)
* 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티
□ 해결방안
o 2.0-beta9 ~ 2.10.0
- JndLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar
org/apache/logging/log4j/core/lookup/JndiLookup.class
o 2.10 ~ 2.14.1
- log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정
o 제조사 홈페이지를 통해 최신버전(2.15.0)으로 업데이트 적용
- 이전글윈도우 오피스 모든 버전을 5초만에 영원히 인증해주는 프로그램 AAct 공유합니다 21.12.21
- 다음글삼성 주니어 SW 아카데미 - 22년 1학기 신청 (11.29~12.10) 21.11.30
댓글목록
wogk116님의 댓글
wogk116 작성일
참고자료 : https://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389
( CVE-2021-44228, CVE-2021-45046, CVE-2021-4104)
참조자료 : https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36397
( CVE-2021-45105 )