Apache Log4j 2 보안 취약점 대응 방안
2021.12.15
□ 개요
o Apache 소프트웨어 재단은 자사의 Log4j2에서 발생하는 취약점을 해결을 위한 대응 방안 권고
o 공격자는 해당 취약점을 이용하여 악성코드 감염 등의 피해를 발생시킬수 있으므로, 최신 버전으로 업데이트 권고
□ 주요 내용
o Apache Log4j 2에서 발생하는 서비스 거부 취약점(CVE-2021-45105)
o Apache Log4j 2에서 발생하는 원격코드 실행 취약점(CVE-2021-44832)
※ Log4j : 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티
□ 영향을 받는 버전
o CVE-2021-45105
- 2.0-alpha1 ~ 2.16.0 버전 * 취약점이 해결된 버전 제외(Log4j 2.3.1, 2.12.3 및 이후 업데이트 버전 제외)
o CVE-2021-44832
- 2.0-beta7 ~ 2.17.0 버전 * 취약점이 해결된 버전 제외(Log4j 2.3.2, 2.12.4 및 이후 업데이트 버전 제외)
※ JMSAppender를 사용하지 않는 경우 취약점 영향 없음
□ 당사 현황
- 당사 제품은 Java7로 빌드되어, Log4j2 보안 이슈 패치 버전인 v2.12.4 로 업데이트 되어야 함.
- Log4j1을 사용하는 제품 중 문제가 되는 JMSAppender는 사용하고 있지 않음.
□ Log4j를 사용하는 당사 제품군
제품 | 제품 버전(revision) | Log4j 사용 버전 | 패치 방법 |
ADMIN
| v5.1.1 ~ v5.1.5 | v2.8.2 | v5.1.6 으로 패치 |
v5.1.0 v5.0 | v1.2.15 | 고객 요청 시 v5.1.6 으로 패치 | |
v4.x | v1.2.15 | 1월중 log4j2 v2.12.4를 사용하는 버전으로 제품 패치 예정 | |
KSF
| v1.3.3 ~ v1.3.6 | v2.8.2 | v1.3.7 로 패치 |
v1.3.0 ~ v1.3.2 v1.2 | v1.2.15 | 고객 요청 시 v1.3.7 로 패치 | |
Connector
| v2.1.7~ v2.1.8 | v2.8.2 | v2.1.9 로 패치 |
v1.1 ~ v2.1.6 | v1.2.x | 고객 요청 시 v2.1.9 로 패치 | |
MemeChecker
| v5.4 | v2.8.2 | v5.4.1 로 패치 |
v3.6 ~ v5.3 | v1.2.17 | 고객 요청 시 v5.4.1 로 패치 | |
Konan Bot
| v3.0 | v2.8.2 | v3.0.1 으로 패치 |
v2.5.0 ~ v2.5.5 | v2.8.2 | v2.5.6 으로 패치 | |
v2.3 ~ v2.4 | v1.2.17 | 추후 문제 발생시 패치 예정 |
□ 해결 방안
1. 상단 표의 패치 방법에 있는 최신 버전의 파일로 패치를 진행
(IRIS 제품 다운로드 페이지에서 다운로드 가능)
2. log4j v2.8.2를 사용하는 제품이면, 그룹웨어 게시판 공지 참조.
※ 2022.01.03 이 후 릴리즈 된 버전은 Log4j 보안 취약점이 해결 된 버전입니다.
이전 버전 설치 시 해당 해결 방안을 적용해 주시기 바랍니다.
이상입니다.
