Home > Àüü±â»ç

À̹ø ´Þ¿¡¸¸ Ãë¾àÁ¡ÀÌ 5°³! ·Î±×4j¿¡¼­ ¶Ç ´Ù¸¥ Ãë¾àÁ¡ ³ª¿Ô´Ù

ÀÔ·Â : 2021-12-29 15:30
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
ÀÚ¹ÙÀÇ Áß¿äÇÑ ±¸¼º ¿ä¼ÒÀÎ ·Î±×4j¿¡¼­ ´Ù½Ã ÇÑ ¹ø Ãë¾àÁ¡ÀÌ ³ªÅ¸³µ´Ù. À̹ø¿¡ ¹ß°ßµÈ Ãë¾àÁ¡Àº ÀÓÀÇ ÄÚµå ½ÇÇàÀ» °¡´ÉÇÏ°Ô ÇÏ´Â °ÍÀ¸·Î, ¾ÆÆÄÄ¡Àç´Ü ¿ª½Ã ºü¸£°Ô »õ ¾÷µ¥ÀÌÆ®¸¦ ¹ßÇ¥Çß´Ù. 2.17.1 ¹öÀüÀ¸·ÎÀÇ ¾÷±×·¹À̵尡 ¿ä±¸µÈ´Ù.

[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¾ÆÆÄÄ¡ ¼ÒÇÁÆ®¿þ¾î Àç´Ü(Apache Software Foundation)ÀÌ ¶Ç ´Ù½Ã ·Î±×4j(Log4j)¿¡ ´ëÇÑ »õ·Î¿î Ãë¾àÁ¡ ÆÐÄ¡¸¦ ¹ßÇ¥Çß´Ù. ÀÌÀü ÆÐÄ¡°¡ Àû¿ëµÈ ¹öÀü¿¡¼­ ÀÓÀÇ ÄÚµå ½ÇÇà Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ±â ¶§¹®ÀÌ´Ù. ÀÌ·Î½á ·Î±×4j¿¡¼­´Â ¿ä ¸î ÁÖ µ¿¾È¿¡¸¸ 5°³ÀÇ Ãë¾àÁ¡ÀÌ ¹ß°ßµÇ°í ÇØ°áµÆ´Ù.

[À̹ÌÁö = utoimage]


ÃÖ±Ù¿¡ ¹ß°ßµÈ Ãë¾àÁ¡Àº CVE-2021-44832´Ù. CVSS ±âºÐÀ¸·Î 6.6Á¡À» ¹Þ¾Æ, ½É°¢µµ°¡ ¸Å¿ì ³ôÀº ¼öÁØÀº ¾Æ´Ï´Ù. ·Î±×4j 2.0-¾ËÆÄ7ºÎÅÍ 2.17.0 ¹öÀü ¸ðµÎ¿¡¼­ ¹ß°ßµÇ°í Àִµ¥, 2.3.2¿Í 2.12.4 ¹öÀü¸¸Àº ¿¹¿Ü´Ù. ·Î±×4j 1.x ¹öÀüµé ¿ª½Ã ÀÌ Ãë¾àÁ¡ÀÇ ¿µÇâÀ» ¹ÞÁö ¾Ê´Â´Ù. ÀÚ¹Ù 6À» »ç¿ëÇÏ´Â °æ¿ì ·Î±×4j 2.3.2·Î, ÀÚ¹Ù 7À» »ç¿ëÇÏ´Â °æ¿ì 2.12.4·Î, ÀÚ¹Ù 8 ÀÌ»óÀ» »ç¿ëÇÏ´Â °æ¿ì 2.17.1·ÎÀÇ ¾÷±×·¹À̵尡 ±ÇÀåµÈ´Ù.

À̹ø¿¡ Ãë¾àÁ¡À» ¹ß°ßÇÑ °Ç üũ¸·½º(Checkmarx)¶ó´Â ¾÷üÀÇ º¸¾È ¿¬±¸¿øÀÎ ¾ß´Ïºê ´ÏÁ(Yaniv Nizry)¶ó°í ÇÑ´Ù. ¾ÆÆÄÄ¡ Ãø¿¡ Ãë¾àÁ¡ Á¤º¸¸¦ Á¦°øÇÑ °Ç 12¿ù 27ÀÏÀÇ ÀÏÀÌ´Ù. ´ÏÁ´Â ÀÚ»ç ºí·Î±×¸¦ ÅëÇØ ¡°CVE-2021-44832´Â ·Î±×4j¿¡¼­ Á¦ÀÏ Ã³À½ ¹ß°ßµÈ ¿À¸®Áö³Î Ãë¾àÁ¡ÀÎ CVE-2021-44228º¸´Ù ÀͽºÇ÷ÎÀÕ °úÁ¤ÀÌ º¹ÀâÇÏ´Ù¡±°í ¼³¸íÇÑ´Ù. ¡°°ø°ÝÀÚ°¡ ȯ°æ ¼³Á¤¿¡ ´ëÇÑ ÅëÁ¦ ±ÇÇÑÀ» °¡Áö°í ÀÖ¾î¾ß Çϱ⠶§¹®¡±ÀÌ´Ù.

¡°·Î±×4j¿¡´Â ¿ø°Ý¿¡ Àִ ȯ°æ ¼³Á¤ ÆÄÀÏÀ» ·ÎµùÇÏ´Â ±â´ÉÀÌ ÀÖ½À´Ï´Ù. ¾Æ´Ï¸é Äڵ带 °¡Áö°í ·Î°Å¸¦ ¼³Á¤ÇÒ ¼ö Àֱ⵵ ÇÏÁÒ. Áï Áß°£ÀÚ °ø°ÝÀ» ½Ç½ÃÇÔÀ¸·Î½á ÀÓÀÇ ÄÚµå ½ÇÇà °ø°ÝÀ¸·Î±îÁö °¡Á®°¥ ¼ö ÀÖ°Ô µÈ´Ù´Â °Ì´Ï´Ù. Áß°£ÀÚ °ø°ÝÀ» ÇÏ¸é »ç¿ëÀÚ°¡ ÀÔ·ÂÇÏ´Â °ªÀ» Ãë¾àÇÑ È¯°æ ¼³Á¤ º¯¼ö·Î ¸¸µé°Å³ª, ¿ø°Ý¿¡¼­ ȯ°æ ¼³Á¤ ÆÄÀÏÀ» Á¶ÀÛÇÒ ¼ö ÀÖ°Ô µÇ´Ï±î¿ä.¡± ´ÏÁÀÇ ¼³¸íÀÌ´Ù.

À̹ø ÆÐÄ¡¸¦ ÅëÇØ ¾ÆÆÄÄ¡ Àç´ÜÀº À̹ø ´Þ¿¡¸¸ 4°³ÀÇ ÆÐÄ¡¸¦ ¹ßÇ¥ÇÏ°Ô µÇ¾ú´Ù. ¿©±â¿¡ ·Î±×4j 1.2¿¡¼­µµ Ãë¾àÁ¡ÀÌ ¹ß°ßµÆÀ¸¹Ç·Î ÃÑ 5°³ÀÇ Ãë¾àÁ¡ÀÌ µîÀåÇÑ °ÍÀ̶ó°í Áý°èÇÒ ¼ö ÀÖ´Ù. Âü°í·Î ·Î±×4j 1.2¿¡¼­ ¹ß°ßµÈ Ãë¾àÁ¡Àº ÆÐÄ¡°¡ ¹ßÇ¥µÇÁö ¾ÊÀ» °ÍÀ̶ó°í ÇÑ´Ù. ±× µ¿¾È ¹ß°ßµÈ ·Î±×4jÀÇ Ãë¾àÁ¡µéÀ» ¿ä¾àÇÏ¸é ´ÙÀ½°ú °°´Ù.

1) CVE-2021-44228 : ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡ / 2.0-beta9¿¡¼­ 2.14.1 ¹öÀü / 2.15.0 ¹öÀüÀ¸·Î ÇØ°á / CVSS ±âÁØ 10Á¡
2) CVE-2021-45046 : Á¤º¸ ³ëÃâ ¹× ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡ / 2.0-beta9¿¡¼­ 2.15.0 ¹öÀü(2.12.2 Á¦¿Ü) / 2.16.0 ¹öÀüÀ¸·Î ÇØ°á / CVSS ±âÁØ 9.0Á¡
3) CVE-2021-45105 : µðµµ½º °ø°Ý Ãë¾àÁ¡ / 2.0-beta9¿¡¼­ 2.16.0 ¹öÀü / 2.17.0 ¹öÀüÀ¸·Î ÇØ°á / CVSS ±âÁØ 7.5Á¡
4) CVE-2021-44832 : ÀÓÀÇ ÄÚµå ½ÇÇà Ãë¾àÁ¡ / 2.0-alpha7¿¡¼­ 2.17.0 ¹öÀü / 2.17.1 ¹öÀüÀ¸·Î ÇØ°á / CVSS ±âÁØ 6.6Á¡
5) CVE-2021-4104 : ºñ½Å·Ú ºñÁ÷·ÄÈ­(untrusted deserialization) Ãë¾àÁ¡ / 1.2 ¹öÀü / ÇȽº ³ª¿ÀÁö ¾ÊÀ» ¿¹Á¤ / CVSS ±âÁØ 8.1Á¡

·Î±×4j Ãë¾àÁ¡Àº ÇöÀç º¸¾È ¾÷°èÀÇ °¡Àå Å« ¹®Á¦·Î¼­ ´Ù·ïÁö°í ÀÖ´Ù. È£ÁÖ, ij³ª´Ù, ´ºÁú·£µå, ¿µ±¹, ¹Ì±¹ÀÇ Á¤º¸ ±â°üµéÀº ÇÕµ¿À¸·Î ÀÌ Ãë¾àÁ¡µé¿¡ ´ëÇÑ º¸¾È ±Ç°í¹®À» ¹ßÇ¥Çϱ⵵ Çß´Ù. ´Ù·®ÀÇ »çÀ̹ö °ø°Ý ´ÜüµéÀÌ ·Î±×4jÀÇ Ãë¾àÁ¡À» ã¾Æ ÀͽºÇ÷ÎÀÕÀ» ½ÃµµÇÏ°í ÀÖÀ¸´Ï Á¶¼ÓÈ÷ ÆÐÄ¡Ç϶ó´Â ³»¿ëÀ̾ú´Ù.

3ÁÙ ¿ä¾à
1. ·Î±×4j¿¡¼­ 27ÀÏÀÚ·Î ¶Ç »õ·Î¿î Ãë¾àÁ¡ ³ª¿È.
2. Çö ½ÃÁ¡ ±âÁØ °¡Àå ¾ÈÀüÇÑ ¹öÀüÀº ·Î±×4j 2.17.1.
3. ÀÌ°Ô Á¤¸» ³¡Àϱî?

[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)