log4j 취약점(CVE-2022-23307) 설명 및 대응 방법
가. 취약점 요약
| 항목 | 내용 | 비고 | |
| CVE CODE | CVE-2022-23307 | 이 취약점은 이전에 CVE-2021-9493로 명명됨 | |
| CVSS 점수 | 9.8(CRITICAL) | ||
| 취약 대상 | log4j 1.x 버전 모두 | chainsaw 관련 클래스를 사용하지 않는 경우 취약점 영향 없음 |
|
| 대응 방안 | JDK 8 이상 | log4j 2.17.1 이상으로 업데이트 | log4j 1.x 버전은 2015년에 EOS 되었으므로, log4j 2.x 버전으로 업데이트 해야함 |
| JDK 7 | log4j 2.12.4 이상으로 업데이트 | ||
| JDK 6 | log4j 2.3.2 이상으로 업데이트 | ||
| JDK 5 이하 | chainsaw 관련 클래스 제거 | ||
※ Log4j: 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티.
나. 공격 원리
Chainsaw의 역직렬화 취약점을 이용해 원격 코드를 실행할 수 있음.
※ Chainsaw v2: log4j의 XMLLayout 형식의 로그 파일을 읽을 수 있는 GUI 기반의 로그 뷰어.
※ 역직렬화 취약점: 데이터를 역직렬화하는 과정에서 무결성을 검증하지 않아 발생하는 취약점. 원격코드 실행, 인젝션, 권한 상승과 같은 공격이 발생할 수 있음.
다. 취약 대상
log4j 1.x 모두(chainsaw 관련 클래스를 사용하지 않는 경우 취약점 영향 없음).
라. 대응 방안
Java 8 이상 : Log4j 2.17.1 이상 버전으로 업데이트.
Java 7 : Log4j 2.12.4 이상 버전으로 업데이트.
Java 6 : Log4j 2.3.2 이상 버전으로 업데이트.
※ log4j 2.x 버전으로 업데이트가 어려운 경우 chainsaw 관련 클래스 제거.
- 윈도우 계열: 압축프로그램(알집, 반디집 등)을 이용하여 log4j-*.jar 의 chainsaw 관련 클래스를 제거
- 유닉스 계열: zip -q -d log4j-*.jar org/apache/log4j/chainsaw/*
마. 점검 도구(스캐너) 다운로드
2022.01.13 - [침해 사고 대응] - log4j 취약점 점검 도구(스캐너) 정리/다운로드
log4j 취약점 점검 도구(스캐너) 정리/다운로드
log4j 취약점 점검 도구(스캐너) 정리/다운로드 ※ 본문서는 21년 12월 22일을 기준으로 작성되었습니다. 1. Labrador Scaner v1.3.0 국산 오픈소스 취약점 점검 솔루션 개발사인 래브라도가 고려
hagsig.tistory.com
바. 참고 자료
KrCERT https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36397
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
CVE https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23307
CVE - CVE-2022-23307
20220117 Disclaimer: The record creation date may reflect when the CVE ID was allocated or reserved, and does not necessarily indicate when this vulnerability was discovered, shared with the affected vendor, publicly disclosed, or updated in CVE.
cve.mitre.org
NVD https://nvd.nist.gov/vuln/detail/CVE-2022-23307
NVD - CVE-2022-23307
References to Advisories, Solutions, and Tools By selecting these links, you will be leaving NIST webspace. We have provided these links to other web sites because they may have information that would be of interest to you. No inferences should be drawn on
nvd.nist.gov
'침해 사고 대응' 카테고리의 다른 글
| Spring4Shell 취약점(CVE-2022-22965) 설명 및 조치 방법 (0) | 2022.04.13 |
|---|---|
| Spring Cloud 취약점(CVE-2022-22963) 설명 및 조치 방법 (0) | 2022.04.08 |
| log4j 취약점(CVE-2022-23305) 설명 및 대응 방법 (0) | 2022.01.22 |
| log4j 취약점(CVE-2022-23302) 설명 및 대응 방법 (0) | 2022.01.22 |
| log4j 취약점 점검 도구(스캐너) 정리/다운로드 (0) | 2022.01.13 |
