log4j 취약점(CVE-2022-23305) 설명 및 대응 방법
가. 취약점 요약
| 항목 | 내용 | 비고 | |
| CVE CODE | CVE-2022-23305 | ||
| CVSS 점수 | 9.8(CRITICAL) | ||
| 취약 대상 | log4j 1.x 버전 모두 | JDBCAppender를 사용하지 않는 경우 취약점 영향 없음 |
|
| 대응 방안 | JDK 8 이상 | log4j 2.17.1 이상으로 업데이트 | log4j 1.x 버전은 2015년에 EOS되었으므로, log4j 2.x 버전으로 업데이트 해야함 |
| JDK 7 | log4j 2.12.4 이상으로 업데이트 | ||
| JDK 6 | log4j 2.3.2 이상으로 업데이트 | ||
| JDK 5 이하 | JDBCAppender.class 제거 | ||
※ log4j : 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티
나. 공격 원리
JDBAppender는 SQL문을 매개변수로 허용하며, PatternLayout의 message converter는 해당 입력값에 대한 검증을 진행하지 않아 SQL인젝션 취약점이 유발됨
다. 공격 대상
log4j 1.x 모두(JDBCAppender를 사용하지 않는 경우 취약점 영향 없음)
라. 대응 방안
Java 8 이상 : Log4j 2.17.1 이상 버전으로 업데이트
Java 7 : Log4j 2.12.4 이상 버전으로 업데이트
Java 6 : Log4j 2.3.2 이상 버전으로 업데이트
※ log4j 2.x 버전으로 업데이트가 어려운 경우 JDBCAppender.class 제거
- 윈도우 계열: 압축프로그램(알집, 반디집 등)을 이용하여 log4j-*.jar 의 JDBCAppender.class 제거
- 유닉스 계열: zip -q -d log4j-*.jar org/apache/log4j/jdbc/JDBCAppender.class
마. 점검 도구(스캐너) 다운로드
2022.01.13 - [침해 사고 대응] - log4j 취약점 점검 도구(스캐너) 정리/다운로드
log4j 취약점 점검 도구(스캐너) 정리/다운로드
log4j 취약점 점검 도구(스캐너) 정리/다운로드 ※ 본문서는 21년 12월 22일을 기준으로 작성되었습니다. 1. Labrador Scaner v1.3.0 국산 오픈소스 취약점 점검 솔루션 개발사인 래브라도가 고려
hagsig.tistory.com
바. 참고 자료
KrCERT https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36397
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
CVE https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23305
CVE - CVE-2022-23305
By design, the JDBCAppender in Log4j 1.2.x accepts an SQL statement as a configuration parameter where the values to be inserted are converters from PatternLayout. The message converter, %m, is likely to always be included. This allows attackers to manipul
cve.mitre.org
NVD https://nvd.nist.gov/vuln/detail/CVE-2022-23305
NVD - CVE-2022-23305
CVE-2022-23305 Detail Awaiting Analysis This vulnerability is currently awaiting analysis. Description By design, the JDBCAppender in Log4j 1.2.x accepts an SQL statement as a configuration parameter where the values to be inserted are converters from Patt
nvd.nist.gov
'침해 사고 대응' 카테고리의 다른 글
| Spring Cloud 취약점(CVE-2022-22963) 설명 및 조치 방법 (0) | 2022.04.08 |
|---|---|
| log4j 취약점(CVE-2022-23307) 설명 및 대응 방법 (0) | 2022.01.22 |
| log4j 취약점(CVE-2022-23302) 설명 및 대응 방법 (0) | 2022.01.22 |
| log4j 취약점 점검 도구(스캐너) 정리/다운로드 (0) | 2022.01.13 |
| logback 취약점(CVE-2021-42550) 설명 및 대응 방법 (0) | 2022.01.09 |
