log4j 취약점(CVE-2021-45046) 설명 및 대응 방법
가. 취약점 요약
| 항목 | 내용 | 비고 | |
| CVE CODE | CVE-2021-45046 | ||
| CVSS 점수 | 9.0(Critical) | ||
| 취약 대상 | log4j 2.0-beta9 ~ 2.15.0 이하 | Log4j 2.3.1, 2.12.2, 2.12.3 버전 제외 | |
| 대응 방안 | JDK 8 이상 | log4j 2.17.0 이상으로 업데이트 | log4j 1.x 버전은 2015년에 EOS되었으므로, log4j 2.x 버전으로 업데이트 해야함 |
| JDK 7 | log4j 2.12.3 이상으로 업데이트 | ||
| JDK 6 | log4j 2.3.1 이상으로 업데이트 | ||
| JDK 5 이하 | JndiLookup.class 제거 | ||
나. 공격 원리
CVE-2021-44228 취약점에 대응한 2.15 버전의 불완전성을 노린 취약점. 공격 원리는 이전 취약점과 같다.
※ 이전 글 참조(log4j 취약점(CVE-2021-44228) 설명 및 대응 방법 (tistory.com))
log4j 취약점(CVE-2021-44228) 설명 및 대응 방법
log4j 취약점(CVE-2021-44228) 설명 및 대응 방법 가. 취약점 요약 항목 내용 비고 CVE CODE CVE-2021-44228 CVSS 점수 10(Critical) 취약 대상 log4j 2.0-beta9 ~ 2.14.1 이하 Log4j 2.3.1, 2.12.2, 2.12.3..
hagsig.tistory.com
다. 공격 영향
다운로드 받은 악성코드가 웹 쉘과 같이 서버를 통제할 수 있는 기능을 가질 경우 해커는 해당 서버를 거점으로 사내 모든 시스템을 스캔할 수 있으며 나아가 사내정보 유출, 시스템 파괴 등의 2차 피해를 가져올 수 있다.
라. 공격 대상
log4j 2.0-beta9 ~ 2.15.0 이하
※ 취약점이 해결된 버전 제외(Log4j 2.3.1, 2.12.2, 2.12.3 및 이후 업데이트 버전 제외)
※ log4j-core-*.jar 파일 없이 log4j-api-*.jar 파일만 사용하는 경우 위 취약점의 영향을 받지 않음
※ log4j 1.x 버전은 이미 EOS되었으며, 다른 취약점이 존재하기 때문에 안전하지 않음
마. 대응 방안
Java 8 이상 : Log4j 2.17.0 이상 버전으로 업데이트
Java 7 : Log4j 2.12.3 이상 버전으로 업데이트
Java 6 : Log4j 2.3.1 이상 버전으로 업데이트
※ log4j 2.x 버전으로 업데이트가 어려운 경우 JndiLookup.class 제거
- 윈도우 계열: 압축프로그램(알집, 반디집 등)을 이용하여 log4j-core-*.jar 안의 JndiLookup.class 제거
- 유닉스 계열: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
바. 점검 도구(스캐너) 다운로드
2022.01.13 - [침해 사고 대응] - log4j 취약점 점검 도구(스캐너) 정리/다운로드
log4j 취약점 점검 도구(스캐너) 정리/다운로드
log4j 취약점 점검 도구(스캐너) 정리/다운로드 ※ 본문서는 21년 12월 22일을 기준으로 작성되었습니다. 1. Labrador Scaner v1.3.0 국산 오픈소스 취약점 점검 솔루션 개발사인 래브라도가 고려
hagsig.tistory.com
사. 참고 자료
KrCERT https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
CVE https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046
CVE - CVE-2021-45046
It was found that the fix to address CVE-2021-44228 in Apache Log4j 2.15.0 was incomplete in certain non-default configurations. This could allows attackers with control over Thread Context Map (MDC) input data when the logging configuration uses a non-def
cve.mitre.org
NVD https://nvd.nist.gov/vuln/detail/CVE-2021-45046
NVD - CVE-2021-45046
CVE-2021-45046 Detail Modified This vulnerability has been modified since it was last analyzed by the NVD. It is awaiting reanalysis which may result in further changes to the information provided. Current Description It was found that the fix to address C
nvd.nist.gov
'침해 사고 대응' 카테고리의 다른 글
| logback 취약점(CVE-2021-42550) 설명 및 대응 방법 (0) | 2022.01.09 |
|---|---|
| log4j 취약점(CVE-2021-44832) 설명 및 대응 방법 (0) | 2022.01.09 |
| log4j 취약점(CVE-2021-45105) 설명 및 대응 방법 (0) | 2022.01.09 |
| log4j 취약점(CVE-2021-4104) 설명 및 대응 방법 (0) | 2022.01.09 |
| log4j 취약점(CVE-2021-44228) 설명 및 대응 방법 (0) | 2022.01.09 |
