본문으로 바로가기

log4j 취약점(CVE-2022-23302) 설명 및 대응 방법

category 침해 사고 대응 2022. 1. 22. 00:40

log4j 취약점(CVE-2022-23302) 설명 및 대응 방법

 

가. 취약점 요약

항목 내용 비고
CVE CODE CVE-2022-23302  
CVSS 점수 8.8(HIGH)  
취약 대상  log4j 1.x 버전 모두 JMSSink.class를 사용하지 않는 경우
취약점 영향 없음
대응 방안 JDK 8 이상 log4j 2.17.1 이상으로 업데이트 log4j 1.x 버전은 2015년에 EOS되었으므로,
log4j 2.x 버전으로 업데이트 해야함
JDK 7 log4j 2.12.4 이상으로 업데이트
JDK 6 log4j 2.3.2 이상으로 업데이트
JDK 5 이하 JMSSink.class 제거

※ Log4j : 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티.

 

나. 공격 원리

공격자는 TopicConnectionFactoryBindingName 설정을 전달해 JMSSink로 하여금 JNDI request를 실행하도록 할 수 있다. 이는 CVE-2021-4104와 유사한 방식으로 동작한다.

※ 이전 글 참조: 2022.01.09 - [침해 사고 대응] - log4j 취약점(CVE-2021-4104) 설명 및 대응 방법

 

log4j 취약점(CVE-2021-4104) 설명 및 대응 방법

log4j 취약점(CVE-2021-4104) 설명 및 대응 방법 가. 취약점 요약 항목 내용 비고 CVE CODE CVE-2021-4104 CVSS 점수 7.5 (High) 취약 대상 log4j 1.x 버전 모두 JMSAppender.class를 사용하지 않는 경우 취..

hagsig.tistory.com

 

다. 공격 대상

log4j 1.x 모두(JMSSink.class를 사용하지 않는 경우 취약점 영향 없음)

 

라. 대응 방안

Java 8 이상 : Log4j 2.17.1 이상 버전으로 업데이트
Java 7 : Log4j 2.12.4 이상 버전으로 업데이트
Java 6 : Log4j 2.3.2 이상 버전으로 업데이트

※ log4j 2.x 버전으로 업데이트가 어려운 경우 JMSSink.class 제거

- 윈도우 계열: 압축프로그램(알집, 반디집 등)을 이용하여 log4j-*.jar 의 JMSSink.class 제거

- 유닉스 계열: zip -q -d log4j-*.jar org/apache/log4j/net/JMSSink.class

 

마. 점검 도구(스캐너) 다운로드

2022.01.13 - [침해 사고 대응] - log4j 취약점 점검 도구(스캐너) 정리/다운로드

 

log4j 취약점 점검 도구(스캐너) 정리/다운로드

log4j 취약점 점검 도구(스캐너) 정리/다운로드 ※ 본문서는 21년 12월 22일을 기준으로 작성되었습니다. 1. Labrador Scaner v1.3.0 국산 오픈소스 취약점 점검 솔루션 개발사인 래브라도가 고려

hagsig.tistory.com

 

바. 참고 자료

KrCERT https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36397 

 

KISA 인터넷 보호나라&KrCERT

KISA 인터넷 보호나라&KrCERT

www.boho.or.kr

 

CVE https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23302 

 

CVE - CVE-2022-23302

20220116 Disclaimer: The record creation date may reflect when the CVE ID was allocated or reserved, and does not necessarily indicate when this vulnerability was discovered, shared with the affected vendor, publicly disclosed, or updated in CVE.

cve.mitre.org

 

NVD https://nvd.nist.gov/vuln/detail/CVE-2022-23302

 

NVD - CVE-2022-23302

References to Advisories, Solutions, and Tools By selecting these links, you will be leaving NIST webspace. We have provided these links to other web sites because they may have information that would be of interest to you. No inferences should be drawn on

nvd.nist.gov

 

저작자표시 비영리 변경금지 (새창열림)

'침해 사고 대응' 카테고리의 다른 글

log4j 취약점(CVE-2022-23307) 설명 및 대응 방법  (0) 2022.01.22
log4j 취약점(CVE-2022-23305) 설명 및 대응 방법  (0) 2022.01.22
log4j 취약점 점검 도구(스캐너) 정리/다운로드  (0) 2022.01.13
logback 취약점(CVE-2021-42550) 설명 및 대응 방법  (0) 2022.01.09
log4j 취약점(CVE-2021-44832) 설명 및 대응 방법  (0) 2022.01.09
댓글 , 엮인글
학식 - 정보보안 전문 블로그
블로그 이미지 학식(hagsig) 님의 블로그
MENU
CATEGORY
VISITOR 오늘 / 전체

티스토리툴바