제이] 취약점 & 해결방법 / remote code execution vulnerability(JAVA)

제이] 취약점 & 해결방법 / remote code execution vulnerability(JAVA)

728x90

Apache Log4j 란?

로그포제이(log4j)는 자바 기반 로깅 유틸리티로 프로그램으로써 프로그램 작성중 디버깅을 위한 로그를 남기는 경우 사용된다.

발견 날짜 : 2021년 12월 11일

보안 취약점 : 원격코드 실행 취약점(CVE-2021-44228) - CVSS 스코어 10점

보안리스크가 매우 심각하기 때문에 긴급 대응이 필요

Apache Log4j 조치방법

가장 안전한 방법은 log4j 를 2.15.0 이상으로 올리는 것이다. 하지만 이 방법은 Java 8이 필요하다.

- 영향받는 버전

Apache Log4j 2 2.0 ~ 2.14.1 모든 버전

- 조치 권고

제조사 홈페이지를 통해 최신버전(2.15.0)으로 업데이트 적용

https://logging.apache.org/log4j/2.x/download.html

2.0-beta9 ~ 2.10.0 [업데이트를 못할 경우]

JndLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

​2.10 ~ 2.14.1 [업데이트를 못할 경우]

log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정

KISA(키사) 해결방안

반응형

그리드형

from http://bebeya.tistory.com/2553 by ccl(A) rewrite - 2021-12-13 10:27:30