log4j 취약점(CVE-2022-23302) 설명 및 대응 방법
가. 취약점 요약
| 항목 | 내용 | 비고 | |
| CVE CODE | CVE-2022-23302 | ||
| CVSS 점수 | 8.8(HIGH) | ||
| 취약 대상 | log4j 1.x 버전 모두 | JMSSink.class를 사용하지 않는 경우 취약점 영향 없음 |
|
| 대응 방안 | JDK 8 이상 | log4j 2.17.1 이상으로 업데이트 | log4j 1.x 버전은 2015년에 EOS되었으므로, log4j 2.x 버전으로 업데이트 해야함 |
| JDK 7 | log4j 2.12.4 이상으로 업데이트 | ||
| JDK 6 | log4j 2.3.2 이상으로 업데이트 | ||
| JDK 5 이하 | JMSSink.class 제거 | ||
※ Log4j : 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티.
나. 공격 원리
공격자는 TopicConnectionFactoryBindingName 설정을 전달해 JMSSink로 하여금 JNDI request를 실행하도록 할 수 있다. 이는 CVE-2021-4104와 유사한 방식으로 동작한다.
※ 이전 글 참조: 2022.01.09 - [침해 사고 대응] - log4j 취약점(CVE-2021-4104) 설명 및 대응 방법
log4j 취약점(CVE-2021-4104) 설명 및 대응 방법
log4j 취약점(CVE-2021-4104) 설명 및 대응 방법 가. 취약점 요약 항목 내용 비고 CVE CODE CVE-2021-4104 CVSS 점수 7.5 (High) 취약 대상 log4j 1.x 버전 모두 JMSAppender.class를 사용하지 않는 경우 취..
hagsig.tistory.com
다. 공격 대상
log4j 1.x 모두(JMSSink.class를 사용하지 않는 경우 취약점 영향 없음)
라. 대응 방안
Java 8 이상 : Log4j 2.17.1 이상 버전으로 업데이트
Java 7 : Log4j 2.12.4 이상 버전으로 업데이트
Java 6 : Log4j 2.3.2 이상 버전으로 업데이트
※ log4j 2.x 버전으로 업데이트가 어려운 경우 JMSSink.class 제거
- 윈도우 계열: 압축프로그램(알집, 반디집 등)을 이용하여 log4j-*.jar 의 JMSSink.class 제거
- 유닉스 계열: zip -q -d log4j-*.jar org/apache/log4j/net/JMSSink.class
마. 점검 도구(스캐너) 다운로드
2022.01.13 - [침해 사고 대응] - log4j 취약점 점검 도구(스캐너) 정리/다운로드
log4j 취약점 점검 도구(스캐너) 정리/다운로드
log4j 취약점 점검 도구(스캐너) 정리/다운로드 ※ 본문서는 21년 12월 22일을 기준으로 작성되었습니다. 1. Labrador Scaner v1.3.0 국산 오픈소스 취약점 점검 솔루션 개발사인 래브라도가 고려
hagsig.tistory.com
바. 참고 자료
KrCERT https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36397
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
CVE https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23302
CVE - CVE-2022-23302
20220116 Disclaimer: The record creation date may reflect when the CVE ID was allocated or reserved, and does not necessarily indicate when this vulnerability was discovered, shared with the affected vendor, publicly disclosed, or updated in CVE.
cve.mitre.org
NVD https://nvd.nist.gov/vuln/detail/CVE-2022-23302
NVD - CVE-2022-23302
References to Advisories, Solutions, and Tools By selecting these links, you will be leaving NIST webspace. We have provided these links to other web sites because they may have information that would be of interest to you. No inferences should be drawn on
nvd.nist.gov
'침해 사고 대응' 카테고리의 다른 글
| log4j 취약점(CVE-2022-23307) 설명 및 대응 방법 (0) | 2022.01.22 |
|---|---|
| log4j 취약점(CVE-2022-23305) 설명 및 대응 방법 (0) | 2022.01.22 |
| log4j 취약점 점검 도구(스캐너) 정리/다운로드 (0) | 2022.01.13 |
| logback 취약점(CVE-2021-42550) 설명 및 대응 방법 (0) | 2022.01.09 |
| log4j 취약점(CVE-2021-44832) 설명 및 대응 방법 (0) | 2022.01.09 |
