공지사항
고객지원 공지사항
Apache 소프트웨어 Log4j 2에서 발생하는 취약점 보안 업데이트 권고 안내 | ||
글쓴이 | 최고관리자 | 등록일 | 21-12-13 17:29 | 조회 | 6,268 |
안녕하세요. 노블시스입니다. 서버에 java 를 설치하여 사용하시는 고객사는 아래 사항 참조해 주시기 바랍니다. 최근 Apache 소프트웨어 Log4j 2에서 발생하는 취약점을 악용한 공격이 발생하고 있어 보안 권고 사항을 아래와 같이 전달해드리오니 참고하시어 피해가 발생하지 않도록 만전을 기해주시기를 당부드립니다. □ 개요 o Apache Log4j 2*에서 발생하는 원격코드 실행 취약점을 해결한 업데이트 발표 o 공격자는 해당 취약점을 악용하여 악성코드 감염 등의 피해를 발생시킬 수 있으므로, 해당 제품을 사용하는 이용자들은 최신 버전으로 업데이트 권고[1] □ 설명 o Apache Log4j 2*에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)[2] * 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티 □ 영향 받는 제품 및 버전 o 2.0-beta9 ~ 2.14.1 모든버전 □ 해결 방안[1] 및 보안 권고 사항 o 2.0-beta9 ~ 2.10.0 - JndLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class o 2.10 ~ 2.14.1 - log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정 o 제조사 홈페이지를 통해 최신버전(2.15.0)으로 업데이트 적용[3] □ 문의사항 o [참고사이트] [1] https://logging.apache.org/log4j/2.x/security.html [2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228 [3] https://logging.apache.org/log4j/2.x/download.html |
||
|