Log4j 보안 취약점 대응 가이드

안녕하세요, 오픈소스컨설팅입니다. 12월 10일, Log4Shell 이라는 부르는 보안취약점(CVE-2021-44228)이 발표되었습니다. 사용자의 입력을 Log4j 를 통해 로깅을 시도할 때, jndi lookup 코드를 전송하여 로깅을 하지 않고 시스템 권한을 탈취할 수 있는 원격 공격 방식(RCE; Remote Code Execution)입니다.

이에 대한 취약점 조치 권고를 아래와 같이 안내 드리오니 참고하여 주시기 바랍니다.

보안 취약점 주요 내용

  • Apache Log4j 2*에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)
    • 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기자의 오픈소스 유틸리티

영향을 받는 버전

  • 2.0-beta9 ~ 2.14.1
    (1.x 버전은 EOL 되어 취약점이 존재하는지 논의되지 않았습니다.)

보안 취약점 해결 방법 (권장)

  • Log4j 2.15.0 으로 업그레이드

 워크어라운드 해결 방법

1. Log4j 2.0-beta9 ~ 2.10.0 버전 (권장)

log4j-core-*.jar 파일에서 org/apache/logging/log4j/core/lookup/JndiLookup.class 삭제

명령어로는
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
입니다.

2. Log4j 2.10 ~ 2.14.1 버전

시스템 속성 log4j2.formatMsgNoLookups 또는
Log4j 속성 LOG4J_FORMAT_MSG_NO_LOOKUPS 값을 “true” 로 변경을 가이드하고 있습니다.

적용 방법으로는, -Dlog4j2.formatMsgNoLookups=true 을 설정합니다.

자세한 내용은 아래 KISA 가이드를 참고 부탁 드립니다.

KISA 인터넷 보호나라&KrCERT

Atlassian 사용자들도 영향이 있나요?

Atlassian 공지에 따르면, 기본 구성으로 사용 시에는 현재 문제가 된 Log4j remote code execution vulnerability (CVE-2021-44228) 보안취약점에 해당되지 않습니다. 관련하여(CVE-2021-44228) 보안취약점 관련 Atlassian FAQ 공유 드립니다.

만약, JMS Appender(org.apache.log4j.net.JMSAppender) 방식으로 변경 하신 경우, 영향이 있으니 해당 형식을 사용하지 않도록 권장하고 있습니다.

추가로 문의 사항이 있으시면, 오픈소스컨설팅 (02-516-0711)에게 연락주시거나, 담당 영업 대표에게 연락 바랍니다.

감사합니다.

오픈소스컨설팅의 열정 마케터 Soo Park(박현수)입니다. 밝은 에너지, 긍정적 마인드로 IT세상에 선한 영향력을 끼치고 싶습니다!

Leave a Reply

Your email address will not be published.