[긴급] CVE-2021-44228 log4j2 제로데이 취약점 발견

안녕하세요.

방울입니다.

 

주말 기념으로 여유롭게 강의를 듣고 있던 와중에,

제가 운영중인 마인크래프트 커뮤니티 내에서 갑자기 보안 이슈가 발생하였다는 소식이 있더군요.

 

무슨 일인가 하니.. log4j 라이브러리에 취약점이 있다는 상황??

????? log4j ????

 

대부분의 Java 기반 소프트웨어에서 선택하는 로깅 라이브러리인데..

해당 라이브러리에 공격자가 원격으로 코드를 실행할 수 있는 취약점이 보고되었답니다.

전 세계 개발자들 긴급 호출되는 소리가 귓가에 맴도는 거 같네요.

 

 

이에 저도 발 빠르게 대처하기 위해 제 개인 프로젝트에서는 주로 Spring Boot 프레임워크를 사용하고 있으므로 한번 확인해 보니 다행히도 Spring Boot 사용자는 기본 로깅 시스템을 log4j2로 전환한 경우에만 이 취약점에 영향을 받는다고 하네요.

추가로 사내에서 개발 중인 프로젝트는 python django 기반이어서 다행히도 log4j에 영향을 받지 않네요.

 

 

log4j 2.15.0 버전부터는 해당 취약점이 해결되었다고 하니 2.15 미만 버전을 사용 중이시고,

이 글을 보고 계신 개발자분들은 발 빠르게 업데이트하시면 되겠습니다.

 

 

이상으로 긴급 취약점 보고를 마칩니다.

 

 

참고 자료

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389 

KISA 인터넷 보호나라&KrCERT

https://nvd.nist.gov/vuln/detail/CVE-2021-44228

NVD - CVE-2021-44228

https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

Log4J2 Vulnerability and Spring Boot

https://www.mbn.co.kr/news/world/4657339

극도로 치명적인 인터넷 보안 취약점 발견 [AP]

https://blog.alyac.co.kr/4341

Apache Log4j2 원격코드실행 취약점 주의!

https://www.lunasec.io/docs/blog/log4j-zero-day/#who-is-impacted

Log4Shell: RCE 0-day exploit found in log4j2, a popular Java logging package | LunaSec