최근 Log4j2 취약점 설명 및 해결 방안
금융보안원, Apache Log4j2 취약점 긴급 점검 회의 개최
금융보안원(원장 김철웅)은 12월 12일(일) 김철웅 원장이 주재하는 금융권 Apache Log4j2 취약점 긴급 점검 회의를 개최해 금융권에 미치는 영향 등을 분석하고 금융보안원의 대응 상황을 점검했
www.boannews.com
홈페이지 기록 남기는 '로그4j2'서 취약점 발견…과기정통부 "긴급 보안패치 권고"
사진=픽사베이 많은 기업들이 홈페이지를 운영하며 사용하는 아파치(Apache) 로그(Log)4j 2 서비스와 관련된 보안 취약점이 발견된 가운데 정부가 긴급 보
www.bloter.net
애플·아마존도 사용하는 애드온 Log4j, 중대한 보안 결함 사태 발생 - CCTV뉴스
전 세계 주요 인터넷 서비스에서 널리 사용되는 Log4j 라이브러리에서 컴퓨터가 원격 조종을 당할 수도 있는 심각한 보안 취약점이 발견되었다.소프트웨어 기업 아파치(Apache)의 Log4j는 Java 코딩
www.cctvnews.co.kr
최근 위에 기사처럼 Apache Log4j2에서 취약점(CVE-2021-44228)이 발견되었다.
이 취약점은 치명적인 결함으로 간주되며, CVSS 스코어 10점으로 가장 높은 심각도라고 한다.
악성코드 감염 등의 피해가 발생할 수 있어 꼭 최신 버전으로 업데이트 해야한다.
영향을 받는 버전
- Apache Log4j 2
- 2.0-beta9 ~ 2.14.1 모든버전 - Apache Log4j 2를 사용하는 제품
※ 참고 사이트를 확인하여 해당 제품을 이용 중일 경우, 해당 제조사의 권고에 따라 패치 또는 대응 방안 적용
해결방안
- 제조사 홈페이지를 통해 최신버전(2.15.0)으로 업데이트 적용
※ log4j 1.x버전 사용자의 경우 추가적인 업그레이드 지원 중지로 인해 다른 보안위협에 노출될 가능성이 높아 최신버전 업데이트 적용 권고
최신버전으로 업데이트가 어려운 경우 사용중인 버전확인 후 버전별 조치 적용
pom.xml(Maven) 또는 build.gradle(Gradle) 파일에 log4j-core 버전 확인, 빌드된 라이브러리 버전 확인 후 맞는 해당 버전에 맞는 조치를 취한다.
- 2.0-beta9 ~ 2.10.0
JndiLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class - 2.10 ~ 2.14.1
log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정
출처
[긴급] Apache Log4j 2 원격코드 실행(RCE) 취약점 주의! [CVE-2021-44228]
안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. Apache Log4j 2 에서 발생하는 취약점(CVE-2021-44228)을 통해 악성코드 감염 등의 피해가 발생할 수 있어 최신 버전으로 긴급 업데이트가 필
blog.alyac.co.kr
Log4J2 Vulnerability and Spring Boot
<p>As you may have seen in the news, a new zero-day exploit has been reported against the popular Log4J2 library which can allow an attacker to remotely execute code. The vulnerability has been reported with <a href="https://nvd.nist.gov/vuln/detail/CVE-20
spring.io
[보안공지] Apache Log4j2 보안 업데이트 권고
1. 개요 Apache(아파치) 소프트웨어 재단은 자사의 Log4j 2에서 발생하는 취약점을 해결한 보안 업데이트 권고 공격자는 해당 취약점을 이용하여 악성코드 감염 등의 피해를 발생시킬수 있으므로,
info-lab.tistory.com
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr