본문 바로가기
Software/Software News

[긴급] CVE-2021-44228 log4j2 제로데이 취약점 발견

by [방울] 2021. 12. 11.

안녕하세요.

방울입니다.

 

주말 기념으로 여유롭게 강의를 듣고 있던 와중에,

제가 운영중인 마인크래프트 커뮤니티 내에서 갑자기 보안 이슈가 발생하였다는 소식이 있더군요.

 

무슨 일인가 하니.. log4j 라이브러리에 취약점이 있다는 상황??

????? log4j ????

 

대부분의 Java 기반 소프트웨어에서 선택하는 로깅 라이브러리인데..

해당 라이브러리에 공격자가 원격으로 코드를 실행할 수 있는 취약점이 보고되었답니다.

전 세계 개발자들 긴급 호출되는 소리가 귓가에 맴도는 거 같네요.

 

 

이에 저도 발 빠르게 대처하기 위해 제 개인 프로젝트에서는 주로 Spring Boot 프레임워크를 사용하고 있으므로 한번 확인해 보니 다행히도 Spring Boot 사용자는 기본 로깅 시스템을 log4j2로 전환한 경우에만 이 취약점에 영향을 받는다고 하네요.

추가로 사내에서 개발 중인 프로젝트는 python django 기반이어서 다행히도 log4j에 영향을 받지 않네요.

 

 

log4j 2.15.0 버전부터는 해당 취약점이 해결되었다고 하니 2.15 미만 버전을 사용 중이시고,

이 글을 보고 계신 개발자분들은 발 빠르게 업데이트하시면 되겠습니다.

 

 

이상으로 긴급 취약점 보고를 마칩니다.

 

 

참고 자료

더보기

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389 

 

KISA 인터넷 보호나라&KrCERT

KISA 인터넷 보호나라&KrCERT

www.boho.or.kr

https://nvd.nist.gov/vuln/detail/CVE-2021-44228

 

NVD - CVE-2021-44228

CVE-2021-44228 Detail Awaiting Analysis This vulnerability is currently awaiting analysis. Description Apache Log4j2 <=2.14.1 JNDI features used in configuration, log messages, and parameters do not protect against attacker controlled LDAP and other JNDI r

nvd.nist.gov

https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

 

Log4J2 Vulnerability and Spring Boot

<p>As you may have seen in the news, a new zero-day exploit has been reported against the popular Log4J2 library which can allow an attacker to remotely execute code. The vulnerability has been reported with <a href="https://nvd.nist.gov/vuln/detail/CVE-20

spring.io

https://www.mbn.co.kr/news/world/4657339

 

극도로 치명적인 인터넷 보안 취약점 발견 [AP]

인터넷에서 널리 쓰이는 소프트웨어에서 치명적인 보안 취약점이 발견됐다고 AP통신이 현지시간 10일 보도했습...

www.mbn.co.kr

https://blog.alyac.co.kr/4341

 

Apache Log4j2 원격코드실행 취약점 주의!

log4j는 프로그램을 작성하는 도중에 로그를 남기기 위해 사용되는 자바 기반 로깅 유틸리티 입니다. 이번에 발견된 취약점은 Log4j-2중에 존재하는 JNDI인젝션 취약점으로, 대부분의

blog.alyac.co.kr

https://www.lunasec.io/docs/blog/log4j-zero-day/#who-is-impacted

 

Log4Shell: RCE 0-day exploit found in log4j2, a popular Java logging package | LunaSec

Given how ubiquitous this library is, the impact of this vulnerability is quite severe. Learn how to patch it, why it's bad, and more in this post.

www.lunasec.io

 

 

댓글