내용 추가 : 2021.12.16
로그4J(log4j) 란?
로그를 남기기 위해 사용하는 자반 기반이 오픈소스 유틸리티로 자반에서 대부분이 기본적으로 사용하는 로그 툴..
로그4j(log4j) 보안 취약점 발견
원격코드가 실행되는 취약점
Apache Log4j 2*에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)
Apache Log4j 2에서 발생하는 서비스 거부 취약점(CVE-2021-45046)
Apache Log4j 1.2에서 발생하는 원격코드 실행 취약점(CVE-2021-4104)
목표 대상 컴퓨터의 모든 권한을 취득할 수 있다. 비밀번호도 없이 서버를 통해 내부망에 접근해 데이터를 약탈하거나 악성 프로그램을 심어 실행시키고, 심지어는 자료를 삭제할 수도 있다는 게 AP통신의 설명.
취약점의 보안 위협 수준을 1∼10단계 중 최고 등급인 ‘10단계’라고 평가했다.
“최근 10년간 가장 치명적이고 거대한 취약점이다. 현대 컴퓨터 역사를 통틀어 최악의 보안 결함일 수도 있다”
https://news.v.daum.net/v/20211211181030002?x_trkm=t
"컴퓨터 사상 최악의 취약점 발견됐다".. 전세계 보안업계 '발칵'
거의 모든 인터넷 서버에서 광범위하게 사용되는 소프트웨어에 치명적 보안 취약점이 발견돼 전 세계 사이버 보안 업계가 발칵 뒤집혔다. 게임이나 클라우드 서버를 운영하는 정보기술(IT) 기업
news.v.daum.net
대상
2.0-beta9 ~ 2.14.1 버전 (Log4j 2.12.2 제외)
2.0-beta9 ~ 2.12.1 및 2.13.0 ~ 2.15.0 버전
1.x 버전
□ .내용 요약
Log4j 2에서 원격코드 실행 취약점이 발견되 이후에, 1.2 버전에서도 계속적으로 취약점이 발견되고 있는 상황
일부 응급조치를 조치는 가능하나 결국에느 최신 버전으로 업데이트 방안이 가장 좋음
다만, 오래된 시스템으로 Log4j 업데이트가 곤란한 상황이 문제. (아래 조치를 따르는 방법)
o 제조사 홈페이지를 통해 최신버전으로 업데이트 적용
조치방법
Apache Log4j 2 보안 업데이트 권고
https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
□ 주요 내용
o Apache Log4j 2에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)
o Apache Log4j 2에서 발생하는 서비스 거부 취약점(CVE-2021-45046)
o Apache Log4j 1.2에서 발생하는 원격코드 실행 취약점(CVE-2021-4104)
※ 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티
□ 영향을 받는 버전
o CVE-2021-44228
- 2.0-beta9 ~ 2.14.1 버전 (Log4j 2.12.2 제외)
o CVE-2021-45046
- 2.0-beta9 ~ 2.12.1 및 2.13.0 ~ 2.15.0 버전
o CVE-2021-4104
- 1.x 버전
※ JMSAppender를 사용하지 않는 경우 취약점 영향 없음
□ 해결방안[1]
o 제조사 홈페이지를 통해 최신버전으로 업데이트 적용[3]
※ 제조사 홈페이지에 신규버전이 계속 업데이트되고 있어 확인 후 업데이트 적용 필요
- CVE-2021-44228, CVE-2021-45046
· Java 8 : Log4j 2.16.0으로 업데이트
· Java 7 : Log4j 2.12.2으로 업데이트
※ log4j-core-*.jar 파일 없이 log4j-api-*.jar 파일만 사용하는 경우 위 취약점의 영향을 받지 않음
- CVE-2021-4104 · Java 8 : Log4j 2.16.0으로 업데이트
· Java 7 : Log4j 2.12.2으로 업데이트[9]
o 신규 업데이트가 불가능할 경우 아래와 같이 조치 적용
- CVE-2021-44228, CVE-2021-45046
· JndiLookup 클래스를 경로에서 제거
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
- CVE-2021-4104
· JMSAppender 사용 확인 후 코드 수정 또는 삭제
※ log4j 1.x버전 사용자의 경우 추가적인 업그레이드 지원 중지로 인해 다른 보안위협에 노출될 가능성이 높아 최신버전(2.x) 업데이트 적용 권고
출처 : KISA
로그(Log4j) 버전 히스토리
Changes Release history
VersionDateDescription
| Version | Date | Description |
| 2.15.0 | 2021-12-06 | GA Release 2.15.0 |
| 2.14.1 | 2021-03-06 | GA Release 2.14.1 |
| 2.14.0 | 2020-11-06 | GA Release 2.14.0 |
| 2.13.3 | 2020-05-10 | GA Release 2.13.3 |
| 2.13.2 | 2020-04-23 | GA Release 2.13.2 |
| 2.13.1 | 2020-02-25 | GA Release 2.13.1 |
| 2.13.0 | 2019-12-11 | GA Release 2.13.0 |
| 2.12.1 | 2019-08-06 | GA Release 2.12.1 |
| 2.12.0 | 2019-06-23 | GA Release 2.12.0 |
| 2.11.2 | 2019-02-04 | GA Release 2.11.2 |
| 2.11.1 | 2018-07-22 | GA Release 2.11.1 |
| 2.11.0 | 2018-03-11 | GA Release 2.11.0 |
| 2.10.0 | 2017-11-18 | GA Release 2.10.0 |
| 2.9.1 | 2017-09-17 | GA Release 2.9.1 |
| 2.9.0 | 2017-08-26 | GA Release 2.9.0 |
| 2.8.2 | 2017-04-02 | GA Release 2.8.2 |
| 2.8.1 | 2017-02-26 | GA Release 2.8.1 |
| 2.8 | 2017-01-21 | GA Release 2.8 |
| 2.7 | 2016-10-02 | GA Release 2.7 |
| 2.6.2 | 2016-07-05 | GA Release 2.6.2 |
| 2.6.1 | 2016-06-05 | GA Release 2.6.1 |
| 2.6 | 2016-05-25 | GA Release 2.6 |
| 2.5 | 2015-12-06 | GA Release 2.5 |
| 2.4.1 | 2015-10-08 | GA Release 2.4.1 |
| 2.4 | 2015-09-20 | GA Release 2.4 |
| 2.3 | 2015-05-09 | GA Release 2.3 |
| 2.2 | 2015-02-22 | GA Release 2.2 |
| 2.1 | 2014-10-19 | GA Release 2.1 |
| 2.0.2 | 2014-08-16 | Bug fixes and enhancements |
| 2.0.1 | 2014-07-29 | Bug fixes |
| 2.0 | 2014-07-12 | GA Release |
| 2.0-rc2 | 2014-06-21 | Bug fixes and enhancements |
| 2.0-rc1 | 2014-02-16 | Bug fixes and enhancements |
| 2.0-beta9 | 2013-09-14 | Bug fixes and enhancements |
| 2.0-beta8 | 2013-07-10 | Bug fixes and enhancements |
| 2.0-beta7 | 2013-06-01 | Bug fixes and enhancements |
| 2.0-beta6 | 2013-05-05 | Bug fixes and enhancements |
| 2.0-beta5 | 2013-04-20 | Bug fixes and enhancements |
| 2.0-beta4 | 2013-01-28 | Bug fixes and enhancements |
| 2.0-beta3 | 2012-11-11 | Bug fixes and enhancements |
| 2.0-beta2 | 2012-10-07 | Bug fixes and enhancements |
| 2.0-beta1 | 2012-09-18 | Bug fixes and enhancements |
| 2.0-alpha2 | 2012-08-24 | Bug fixes and minor enhancements |
| 2.0-alpha1 | 2012-07-29 | Rewrite of Log4j |
https://logging.apache.org/log4j/2.x/changes-report.html
Log4j – Changes
Add a Builder to JsonLayout and deprecate org.apache.logging.log4j.core.layout.JsonLayout.createLayout(Configuration, boolean, boolean, boolean, boolean, boolean, boolean, String, String, Charset, boolean). Fixes LOG4J2-1738. ggregory
logging.apache.org
로그4J(log4j) 다운로드
아래 링크에서 로그4J(Log4j) 최선 버전 다운로드
: 현재 기준 최신버전 : 2.15.0
https://logging.apache.org/log4j/2.x/download.html
Log4j – Download Apache Log4j 2
<!-- Licensed to the Apache Software Foundation (ASF) under one or more contributor license agreements. See the NOTICE file distributed with this work for additional information regarding copyright ownership. The ASF licenses this file to You under the Apa
logging.apache.org
조속한 조치로 안전을 확보하세요.
'코드' 카테고리의 다른 글
| 트랜스노(transno) - 마인드맵 (0) | 2021.12.22 |
|---|---|
| VirtualBox 에서 시리얼 포트(Serial port) 설정 (0) | 2021.12.17 |
| 엑셀 - 데이터 분석도구 설정 (0) | 2021.12.03 |
| Q-Dir 설치 : The Quad Directory Explorer (0) | 2021.11.29 |
| Visual Studio 6.0 설치 (0) | 2021.11.08 |