log4j 취약점(CVE-2021-44832) 설명 및 대응 방법
가. 취약점 요약
| 항목 | 내용 | 비고 | |
| CVE CODE | CVE-2021-44832 | ||
| CVSS 점수 | 6.6 MEDIUM | ||
| 취약 대상 | log4j 2.0-beta7 ~ 2.17.0 버전 이하 | Log4j 2.3.2, 2.12.4 버전 제외 | |
| 대응 방안 | JDK 8 이상 | log4j 2.17.1 이상으로 업데이트 | log4j 1.x 버전은 2015년에 EOS되었으므로, log4j 2.x 버전으로 업데이트 해야함 |
| JDK 7 | log4j 2.12.4 이상으로 업데이트 | ||
| JDK 6 | log4j 2.3.2 이상으로 업데이트 | ||
나. 공격 원리
JDBCAppender.class으로 CVE-2021-44228 과 같이, JNDI를 이용한 공격이 가능
※ 공격 원리는 이전 글 참조(log4j 취약점(CVE-2021-44228) 설명 및 대응 방법 (tistory.com))
log4j 취약점(CVE-2021-44228) 설명 및 대응 방법
log4j 취약점(CVE-2021-44228) 설명 및 대응 방법 가. 취약점 요약 항목 내용 비고 CVE CODE CVE-2021-44228 CVSS 점수 10(Critical) 취약 대상 log4j 2.0-beta9 ~ 2.14.1 이하 Log4j 2.3.1, 2.12.2, 2.12.3..
hagsig.tistory.com
다. 공격 영향
다운로드 받은 악성코드가 웹 쉘과 같이 서버를 통제할 수 있는 기능을 가질 경우 해커는 해당 서버를 거점으로 사내 모든 시스템을 스캔할 수 있으며 나아가 사내정보 유출, 시스템 파괴 등의 2차 피해를 가져올 수 있다
라. 공격 대상
log4j 2.0-beta7 ~ 2.17.0 버전 이하
※ 취약점이 해결된 버전 제외(Log4j 2.3.2, 2.12.4 및 이후 업데이트 버전 제외)
※ log4j-core-*.jar 파일 없이 log4j-api-*.jar 파일만 사용하는 경우 위 취약점의 영향을 받지 않음
※ log4j 1.x 버전은 이미 EOS되었으며, 다른 취약점이 존재하기 때문에 안전하지 않음
마. 대응 방안
Java 8 이상 : Log4j 2.17.1 이상 버전으로 업데이트
Java 7 : Log4j 2.12.4 이상 버전으로 업데이트
Java 6 : Log4j 2.3.2 이상 버전으로 업데이트
바. 점검 도구(스캐너) 다운로드
2022.01.13 - [침해 사고 대응] - log4j 취약점 점검 도구(스캐너) 정리/다운로드
log4j 취약점 점검 도구(스캐너) 정리/다운로드
log4j 취약점 점검 도구(스캐너) 정리/다운로드 ※ 본문서는 21년 12월 22일을 기준으로 작성되었습니다. 1. Labrador Scaner v1.3.0 국산 오픈소스 취약점 점검 솔루션 개발사인 래브라도가 고려
hagsig.tistory.com
사. 참고 자료
KrCERT https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36397
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
CVE https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44832
CVE - CVE-2021-44832
20211211 Disclaimer: The record creation date may reflect when the CVE ID was allocated or reserved, and does not necessarily indicate when this vulnerability was discovered, shared with the affected vendor, publicly disclosed, or updated in CVE.
cve.mitre.org
NVD https://nvd.nist.gov/vuln/detail/CVE-2021-44832
NVD - CVE-2021-44832
CVE-2021-44832 Detail Modified This vulnerability has been modified since it was last analyzed by the NVD. It is awaiting reanalysis which may result in further changes to the information provided. Current Description Apache Log4j2 versions 2.0-beta7 throu
nvd.nist.gov
'침해 사고 대응' 카테고리의 다른 글
| log4j 취약점 점검 도구(스캐너) 정리/다운로드 (0) | 2022.01.13 |
|---|---|
| logback 취약점(CVE-2021-42550) 설명 및 대응 방법 (0) | 2022.01.09 |
| log4j 취약점(CVE-2021-45105) 설명 및 대응 방법 (0) | 2022.01.09 |
| log4j 취약점(CVE-2021-4104) 설명 및 대응 방법 (0) | 2022.01.09 |
| log4j 취약점(CVE-2021-45046) 설명 및 대응 방법 (0) | 2022.01.09 |
