ÇöÀç±îÁö ¾Ë·ÁÁø Ãë¾àÁ¡Àº ÃÑ 3°¡Áö ¨çCVE-2021-44228 ¨èCVE-2021-45046 ¨éCVE-2021-4104
[º¸¾È´º½º ¿øº´Ã¶ ±âÀÚ] ¾È·¦ÀÌ Apache Log4j Ãë¾àÁ¡ÀÎ ¡®CVE-2021-44228¡¯ÀÇ ¿µÇâÀ» ¹Þ´Â log4j Core¸¦ °ø°³ÇÏ¸ç º¸¾È ¾÷µ¥ÀÌÆ®¸¦ ±Ç°íÇß´Ù.
ÇöÀç±îÁö ¾Ë·ÁÁø Ãë¾àÁ¡Àº ÃÑ 3°¡Áö·Î ¨çLog4j 2.x ¹öÀü¿¡¼ °ø°ÝÀÚ°¡ ·Î±× ¸Þ¼¼Áö¸¦ ÅëÇØ ¿ø°Ý ÄÚµå ½ÇÇàÀÌ °¡´ÉÇÑ Ãë¾àÁ¡(CVE-2021-44228, CVSS 10.0) ¨èLog4j 2.x ¹öÀü¿¡¼ °ø°ÝÀÚ°¡ ·Î±× ¸Þ¼¼Áö¸¦ ÅëÇØ ¼ºñ½º °ÅºÎ ¿À·ù(Denied of Service)¸¦ ¹ß»ý½Ãų ¼ö ÀÖ´Â Ãë¾àÁ¡(CVE-2021-45046, CVSS 3.7) ¨éLog4j 1.2.x ¹öÀü¿¡¼ °ø°ÝÀÚ°¡ ·Î±× ¸Þ¼¼Áö¸¦ ÅëÇØ ¿ø°Ý ÄÚµå ½ÇÇàÀÌ °¡´ÉÇÑ Ãë¾àÁ¡(CVE-2021-4104)ÀÌ´Ù.
¶ÇÇÑ, Ãë¾àÁ¡ ¿µÇâÀ» ¹Þ´Â ¹öÀüÀº ¨çCVE-2021-44228: Apache Log4j 2.0-beta9 ~ 2.14.1 ¹öÀü(Log4j 2.12.2 Á¦¿Ü) ¨èCVE-2021-45046: Apache Log4j 2.0-beta9 ~ 2.12 ¹× 2.15.0 ¹öÀü ¨éCVE-2021-4104: Apache Log4j 1.2.x ¹öÀüÀÌ´Ù.
Âü°í·Î CVE-2021-45046Àº log4j 2.x ¹öÀü¿¡¼ Pattern Layout¿¡ Context Lookup ¶Ç´Â Thread Context Lookup ÆÐÅÏÀ» »ç¿ëÇÏ´Â °æ¿ì¿¡ ¹ß»ýÇϸç, CVE-2021-4104´Â log4j 1.2.x ¹öÀü¿¡¼ JMSAppender ±â´ÉÀ» »ç¿ëÇÏ´Â °æ¿ì¿¡ ¹ß»ýÇÑ´Ù.
°¡Àå ½É°¢ÇÑ(CVSS 10.0) Ãë¾àÁ¡ CVE-2021-44228Àº Áï½Ã º¸¾È ¾÷µ¥ÀÌÆ®°¡ ÇÊ¿äÇÏ´Ù. ¿î¿ë ÁßÀÎ ½Ã½ºÅÛ¿¡ Ãë¾àÇÑ Log4j Core ¶óÀ̺귯¸®°¡ ÀÖ´ÂÁö È®ÀÎÀÌ ÇÊ¿äÇÏ´Ù. °¢ ¹öÀüº° Çؽô Log4j ¼Ò½ºÄڵ带 °³º° ȯ°æ¿¡¼ Á÷Á¢ ºôµå ÇßÀ» ¶§´Â ´Þ¶óÁú ¼ö ÀÖ´Ù.
Log4j´Â Java ±â¹Ý ȯ°æ¿¡¼ ·Î±×¸¦ ³²±â±â À§ÇØ »ç¿ëµÇ´Â ´ëÇ¥ÀûÀÎ ¿ÀǼҽº ·Î±ë ¶óÀ̺귯¸®À̱⠶§¹®¿¡ ±× »ç¿ëÀÚ ¼ö°¡ ¸Å¿ì ¸¹´Ù. ±×·¯³ª Ä¡¸íÀûÀÎ º¸¾È Ãë¾àÁ¡ÀÌ ÀÖÀ½¿¡µµ ºÒ±¸ÇÏ°í ASEC ºÐ¼®ÆÀÀÌ °í°´ ȯ°æÀ» Á¶»çÇÑ ¹Ù¿¡ µû¸£¸é, ¾Æ·¡¿Í °°ÀÌ º¸¾È ¾÷µ¥ÀÌÆ®°¡ µÇÁö ¾ÊÀº Ãë¾àÇÑ Log4j Core¸¦ »ç¿ëÇÏ´Â »ç¿ëÀÚ ¼ö°¡ ¾ÆÁ÷±îÁö »ó´çÈ÷ ¸¹´Ù. ÀÌ´Â ¿ÜºÎ Á¢¼ÓÀÌ °¡´ÉÇÑ ¼¹ö ¿Ü¿¡ °³ÀÎÀÌ »ç¿ëÇÏ°í ÀÖ´Â ¾ÖÇø®ÄÉÀÌ¼Ç ¶Ç´Â ÇÁ·¹ÀÓ¿öÅ© ȯ°æÀ» Æ÷ÇÔÇÑ´Ù.
¡¤C:\ghidra\Ghidra\Framework\Generic\lib\log4j-core-2.12.1.jar
¡¤C:\Users\<»ç¿ëÀÚ¸í>\AppData\Roaming\.minecraft\libraries\org\apache\logging\log4j\log4j-core\2.14.1\log4j-core-2.14.1.jar
¡¤C:\eGovFrame-3.6.0\mavenepository\org\apache\logging\log4j\log4j-core\2.1\log4j-core-2.1.jar
¡¤C:\Apache Software Foundation\Tomcat 8.5\webapps\ROOT_210928\WEB-INF\lib\log4j-core-2.8.2.jar
¡¤D:\<*****>_erp_server\<***>ERP_<*****>\webapps\ROOT\WEB-INF\lib\log4j-core-2.10.0.jar
¡¤C:\Users\USER\AppData\Local\MapTool\app\log4j-core-2.13.0.jar
¡¤C:\<»ç¿ëÀÚ¸í>\Teamcenter13\tccs\third_party\TcSS\TcSS13.3\jars\log4j-core-2.14.0.jar
¾È·¦Àº »ç¿ëÇÏ´Â ¾ÖÇø®ÄÉÀÌ¼Ç ¶Ç´Â ÇÁ·¹ÀÓ¿öÅ© ȯ°æ¿¡¼ Ãë¾àÇÑ Log4j Core ¶óÀ̺귯¸®°¡ Æ÷ÇԵǾî ÀÖ´ÂÁö È®ÀÎÇÏ°í, Ãë¾àÇÑ ¹öÀüÀÌ ÀÖÀ» °æ¿ì Áï½Ã º¸¾È ¾÷µ¥ÀÌÆ®¸¦ ÇØ¾ß ÇÑ´Ù°í Á¶¾ðÇß´Ù.
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]
[º¸¾È´º½º ¿øº´Ã¶ ±âÀÚ] ¾È·¦ÀÌ Apache Log4j Ãë¾àÁ¡ÀÎ ¡®CVE-2021-44228¡¯ÀÇ ¿µÇâÀ» ¹Þ´Â log4j Core¸¦ °ø°³ÇÏ¸ç º¸¾È ¾÷µ¥ÀÌÆ®¸¦ ±Ç°íÇß´Ù.
[À̹ÌÁö=utoimage]
ÇöÀç±îÁö ¾Ë·ÁÁø Ãë¾àÁ¡Àº ÃÑ 3°¡Áö·Î ¨çLog4j 2.x ¹öÀü¿¡¼ °ø°ÝÀÚ°¡ ·Î±× ¸Þ¼¼Áö¸¦ ÅëÇØ ¿ø°Ý ÄÚµå ½ÇÇàÀÌ °¡´ÉÇÑ Ãë¾àÁ¡(CVE-2021-44228, CVSS 10.0) ¨èLog4j 2.x ¹öÀü¿¡¼ °ø°ÝÀÚ°¡ ·Î±× ¸Þ¼¼Áö¸¦ ÅëÇØ ¼ºñ½º °ÅºÎ ¿À·ù(Denied of Service)¸¦ ¹ß»ý½Ãų ¼ö ÀÖ´Â Ãë¾àÁ¡(CVE-2021-45046, CVSS 3.7) ¨éLog4j 1.2.x ¹öÀü¿¡¼ °ø°ÝÀÚ°¡ ·Î±× ¸Þ¼¼Áö¸¦ ÅëÇØ ¿ø°Ý ÄÚµå ½ÇÇàÀÌ °¡´ÉÇÑ Ãë¾àÁ¡(CVE-2021-4104)ÀÌ´Ù.
¶ÇÇÑ, Ãë¾àÁ¡ ¿µÇâÀ» ¹Þ´Â ¹öÀüÀº ¨çCVE-2021-44228: Apache Log4j 2.0-beta9 ~ 2.14.1 ¹öÀü(Log4j 2.12.2 Á¦¿Ü) ¨èCVE-2021-45046: Apache Log4j 2.0-beta9 ~ 2.12 ¹× 2.15.0 ¹öÀü ¨éCVE-2021-4104: Apache Log4j 1.2.x ¹öÀüÀÌ´Ù.
Âü°í·Î CVE-2021-45046Àº log4j 2.x ¹öÀü¿¡¼ Pattern Layout¿¡ Context Lookup ¶Ç´Â Thread Context Lookup ÆÐÅÏÀ» »ç¿ëÇÏ´Â °æ¿ì¿¡ ¹ß»ýÇϸç, CVE-2021-4104´Â log4j 1.2.x ¹öÀü¿¡¼ JMSAppender ±â´ÉÀ» »ç¿ëÇÏ´Â °æ¿ì¿¡ ¹ß»ýÇÑ´Ù.
°¡Àå ½É°¢ÇÑ(CVSS 10.0) Ãë¾àÁ¡ CVE-2021-44228Àº Áï½Ã º¸¾È ¾÷µ¥ÀÌÆ®°¡ ÇÊ¿äÇÏ´Ù. ¿î¿ë ÁßÀÎ ½Ã½ºÅÛ¿¡ Ãë¾àÇÑ Log4j Core ¶óÀ̺귯¸®°¡ ÀÖ´ÂÁö È®ÀÎÀÌ ÇÊ¿äÇÏ´Ù. °¢ ¹öÀüº° Çؽô Log4j ¼Ò½ºÄڵ带 °³º° ȯ°æ¿¡¼ Á÷Á¢ ºôµå ÇßÀ» ¶§´Â ´Þ¶óÁú ¼ö ÀÖ´Ù.
Log4j´Â Java ±â¹Ý ȯ°æ¿¡¼ ·Î±×¸¦ ³²±â±â À§ÇØ »ç¿ëµÇ´Â ´ëÇ¥ÀûÀÎ ¿ÀǼҽº ·Î±ë ¶óÀ̺귯¸®À̱⠶§¹®¿¡ ±× »ç¿ëÀÚ ¼ö°¡ ¸Å¿ì ¸¹´Ù. ±×·¯³ª Ä¡¸íÀûÀÎ º¸¾È Ãë¾àÁ¡ÀÌ ÀÖÀ½¿¡µµ ºÒ±¸ÇÏ°í ASEC ºÐ¼®ÆÀÀÌ °í°´ ȯ°æÀ» Á¶»çÇÑ ¹Ù¿¡ µû¸£¸é, ¾Æ·¡¿Í °°ÀÌ º¸¾È ¾÷µ¥ÀÌÆ®°¡ µÇÁö ¾ÊÀº Ãë¾àÇÑ Log4j Core¸¦ »ç¿ëÇÏ´Â »ç¿ëÀÚ ¼ö°¡ ¾ÆÁ÷±îÁö »ó´çÈ÷ ¸¹´Ù. ÀÌ´Â ¿ÜºÎ Á¢¼ÓÀÌ °¡´ÉÇÑ ¼¹ö ¿Ü¿¡ °³ÀÎÀÌ »ç¿ëÇÏ°í ÀÖ´Â ¾ÖÇø®ÄÉÀÌ¼Ç ¶Ç´Â ÇÁ·¹ÀÓ¿öÅ© ȯ°æÀ» Æ÷ÇÔÇÑ´Ù.
¡¤C:\ghidra\Ghidra\Framework\Generic\lib\log4j-core-2.12.1.jar
¡¤C:\Users\<»ç¿ëÀÚ¸í>\AppData\Roaming\.minecraft\libraries\org\apache\logging\log4j\log4j-core\2.14.1\log4j-core-2.14.1.jar
¡¤C:\eGovFrame-3.6.0\mavenepository\org\apache\logging\log4j\log4j-core\2.1\log4j-core-2.1.jar
¡¤C:\Apache Software Foundation\Tomcat 8.5\webapps\ROOT_210928\WEB-INF\lib\log4j-core-2.8.2.jar
¡¤D:\<*****>_erp_server\<***>ERP_<*****>\webapps\ROOT\WEB-INF\lib\log4j-core-2.10.0.jar
¡¤C:\Users\USER\AppData\Local\MapTool\app\log4j-core-2.13.0.jar
¡¤C:\<»ç¿ëÀÚ¸í>\Teamcenter13\tccs\third_party\TcSS\TcSS13.3\jars\log4j-core-2.14.0.jar
¾È·¦Àº »ç¿ëÇÏ´Â ¾ÖÇø®ÄÉÀÌ¼Ç ¶Ç´Â ÇÁ·¹ÀÓ¿öÅ© ȯ°æ¿¡¼ Ãë¾àÇÑ Log4j Core ¶óÀ̺귯¸®°¡ Æ÷ÇԵǾî ÀÖ´ÂÁö È®ÀÎÇÏ°í, Ãë¾àÇÑ ¹öÀüÀÌ ÀÖÀ» °æ¿ì Áï½Ã º¸¾È ¾÷µ¥ÀÌÆ®¸¦ ÇØ¾ß ÇÑ´Ù°í Á¶¾ðÇß´Ù.
¡ã¡®CVE-2021-44228¡¯ÀÇ ¿µÇâÀ» ¹Þ´Â log4j Core[ÀÚ·á=¾È·¦]
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>
¿øº´Ã¶±âÀÚ ±â»çº¸±â
[2024-09-29] 
