본문 바로가기
News

[긴급] [CVE-2021-44228] Apache Log4j, Zero-Day RCE 취약점 공개

by Kim Do Hoon 2021. 12. 11.
반응형

한국 시간 기준 2021년 10월 10일, Apache 재단에서 관리하는 Java 오픈 소스 로깅 라이브러리 "Log4j"에서 새로운 제로 데이 원격 실행 코드 취약점(Remote Code Execution, RCE)이 공개되었다. 버전 2.0-beta9부터 2.14.1까지의 Log4j 라이브러리를 사용하는 모든 Java 소프트웨어가 영향 대상이며, 영향을 받는 버전은 로그 메시지 및 매개변수에 사용되는 JNDI 기능이 공격자가 제어하는 LDAP 및 기타 JNDI 관련 엔드포인트로부터 보호되지 않는다. 로그 메시지 또는 로그 메시지 매개변수를 제어할 수 있는 공격자는 메시지 조회 대체 기능이 활성화된 경우 LDAP 서버에서 로드된 임의 코드를 실행할 수 있다.

Apache 재단에서는 보안 취약점 문서를 통해 "2.15.0 버전에서 해결되었다"며 "심각한 보안 취약점이므로 가능한 한 빨리 업데이트하라"고 전했다.

2.15.0으로 업데이트가 불가능한 사용자는 시스템 속성 log4j2.formatMsgNoLookups를 true로 설정하여 방어할 수도 있다.

영향 대상인 Apache 재단의 "Log4j" 로고

반응형

'News' 카테고리의 다른 글

OVH사 Strasbourg 데이터센터 화재 발생  (0) 2021.03.12

댓글