Home > Àüü±â»ç

[±ä±Þ] ·Î±×4j ½Å±Ô Ãë¾àÁ¡ ¡®CVE-2021-45105¡¯°ú ÆÐÄ¡ ¡®Log4j 2.17.0¡¯ ³ª¿Í

ÀÔ·Â : 2021-12-20 05:17
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
Log4j 2.16.0 ¹öÀü¿¡¼­ µ¿ÀÛÇÏ´Â CVE-2021-45105 Ãë¾àÁ¡ Ãß°¡·Î °ø°³

[º¸¾È´º½º ¿øº´Ã¶ ±âÀÚ] log4jÀÇ ½Å±Ô Ãë¾àÁ¡°ú »õ·Î¿î ÆÐÄ¡°¡ ³ª¿Í º¸¾È´ã´çÀÚµéÀÇ ½Ã±ÞÇÑ ¾÷µ¥ÀÌÆ®°¡ ¿ä±¸µÈ´Ù. ¾ÆÆÄÄ¡Àç´ÜÀº 12¿ù 18ÀÏ ¡®Log4j 2.16.0¡¯ ¹öÀü¿¡¼­ µ¿ÀÛÇÏ´Â CVE-2021-45105 Ãë¾àÁ¡À» Ãß°¡·Î °ø°³Çß´Ù. ¾È·¦ ASECÀº À̹ø Ãë¾àÁ¡ÀÇ CVSS Á¡¼ö(Ãë¾àÁ¡ µî±Þ ½Ã½ºÅÛ. 10Á¡ ¸¸Á¡¿¡ 7.0Á¡À» ³Ñ±â¸é ½É°¢ÇÑ Ãë¾àÁ¡À¸·Î ±¸ºÐÇÑ´Ù)´Â 7.5Á¡ À̶ó°í ¹àÇû´Ù.

¡ãLog4j ½Å±Ô Ãë¾àÁ¡(CVE-2021-45105) ÆÐÄ¡(Log4j 2.17.0)¸¦ °ø°³ÇÑ ¾ÆÆÄÄ¡ Àç´Ü[ĸó=º¸¾È´º½º]


À̹ø ¡®CVE-2021-45105¡¯¿¡ Ãë¾àÇÑ Á¦Ç° ¹öÀüÀº ¡®Log4j 2.0-beta9 ~ 2.16.0¡¯ ¹öÀüÀÌ´Ù. Ãë¾àÁ¡ °ø°ÝÀº Log4j¸¦ »ç¿ëÇÏ´Â ÀÀ¿ë ÇÁ·Î±×·¥¿¡¼­ ¡®layout pattern¡¯°ú ¡®¾²·¹µå ÄÁÅؽºÆ® ±â´É¡¯ÀÌ »ç¿ëµÇ´Â °æ¿ì ¹ß»ýÇÒ ¼ö ÀÖ´Ù. Ãë¾àÇÑ È¯°æ°ú ÀÌ È¯°æÀ» °ø°ÝÇÏ´Â ±â¹ýÀº ´ÙÀ½°ú °°´Ù.

¨çÃë¾àÇÑ È¯°æ
ÀÀ¿ë ÇÁ·Î±×·¥ÀÌ layout pattern¿¡¼­ ¾²·¹µå ÄÁÅؽºÆ®¸¦ Á¶È¸ÇÏ´Â ±â´ÉÀ» »ç¿ëÇϵµ·Ï ¼³Á¤µÈ´Ù.

¡ãlog4j2.properties ¼³Á¤ ÀϺÎ[À̹ÌÁö=ASEC]


¼Ò½º ÄÚµå
layout pattern¿¡¼­ ÂüÁ¶ÇÏ´Â ¾²·¹µå ÄÁÅؽºÆ®ÀÇ °ªÀ» ¿ÜºÎ·ÎºÎÅÍ ÀԷ¹ÞÀº °ªÀ¸·Î ÀúÀåÇÑ´Ù.

¡ãÀÀ¿ë ÇÁ·Î±×·¥ ¼Ò½ºÄÚµå ÀϺÎ[À̹ÌÁö=ASEC]


¨èÃë¾àÁ¡ °ø°Ý
°ø°ÝÀÚ°¡ X-Api-Version Çì´õ¿¡ ƯÁ¤ ¹®ÀÚ¿­À» Æ÷ÇÔÇÑ ¿äûÀ» ´ë»ó ¼­¹ö¿¡ Àü¼ÛÇÏ´Â °æ¿ì, log4j¿¡¼­´Â ·Î±×¸¦ ÀúÀåÇÏ´Â °úÁ¤¿¡¼­ Stack OverFlow ¿À·ù°¡ ¹ß»ýÇÏ¿© ÇØ´ç ÇÁ·Î¼¼½º°¡ Á¾·áµÉ ¼ö ÀÖ´Ù.
# curl server -H ¡®X-Api-Version: ${${::-${::-$${::-$}}}}¡¯

¨éÃë¾àÁ¡ ¿µÇâ
Log4jÀÇ ¼­ºñ½º °ÅºÎ Ãë¾àÁ¡(Dos : Denial Of Service)À¸·Î ÀÎÇØ ¼­ºñ½º Àå¾Ö°¡ ¹ß»ýÇÒ ¼ö ÀÖÁö¸¸, °ø°Ý ±â¹ý¿¡¼­ ¼³¸íÇÑ È¯°æÀÌ ±¸ÃàµÇ¾î¾ß Ãë¾àÁ¡ °ø°ÝÀÌ °¡´ÉÇÏ´Ù. ¶ÇÇÑ, log4j-core-*.jar ÆÄÀÏ ¾øÀÌ log4j-api-*.jar ÆÄÀϸ¸ »ç¿ëÇÏ´Â °æ¿ì Ãë¾àÁ¡ÀÇ ¿µÇâÀ» ¹ÞÁö ¾Ê´Â´Ù.

¨êÃë¾àÁ¡ ÆÐÄ¡
2021³â 12¿ù 18ÀÏ Log4j 2.17.0 ÆÐÄ¡°¡ ¹ßÇ¥µÆ´Ù.

Log4j 2.17.0 ÀÌ»ó ÃֽŠ¹öÀü (Java8 ÀÌ»ó)
https://logging.apache.org/log4j/2.x/download.html
* Java 7 ¹öÀü : Á¦°ø ¿¹Á¤

¨ëÃë¾àÁ¡ ¿ÏÈ­
Ãë¾àÁ¡ ÆÐÄ¡°¡ ¾î·Á¿î °æ¿ì ´ÙÀ½ÀÇ ¹æ¹ýÀ¸·Î Àӽà Á¶Ä¡¸¦ ÁøÇàÇØ¾ß ÇÑ´Ù.
– ¡®PatternLayout¡¯¿¡¼­ ${ctx:loginId} ¶Ç´Â $${ctx:loginId}¸¦ Á¦°ÅÇϰųª (%X, %mdc, or %MDC)·Î º¯°æÇÑ´Ù.
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)