[긴급] Log4J 보안 업데이트 긴급공지
- 작성자
- 관리자
- 작성일
- 2021-12-11
- 조회수
- 40,862
전자정부 표준프레임워크센터입니다.
표준프레임워크 실행환경 공통기반에서 제공하는 log4j 관련하여 보안취약점이 발표되었습니다.
아래의 내용을 확인하시어 즉시 조치하여 주시기 바랍니다.
=======================================
□ 개요
o Apache 소프트웨어 재단은 자사의 Log4j 2에서 발생하는 취약점을 해결한 보안 업데이트 권고[1]
o 공격자는 해당 취약점을 이용하여 악성코드 감염 등의 피해를 발생시킬수 있으므로, 최신 버전으로 업데이트 권고
□ 주요 내용
o Apache Log4j 2에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)[2]
o Apache Log4j 2에서 발생하는 원격코드 실행 취약점(CVE-2021-44832)[9]
o Apache Log4j 2에서 발생하는 서비스 거부 취약점(CVE-2021-45046)[6]
o Apache Log4j 2에서 발생하는 서비스 거부 취약점(CVE-2021-45105)[8]
o Apache Log4j 1.2에서 발생하는 원격코드 실행 취약점(CVE-2021-4104)[7]
※ Log4j : 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티
□ 영향을 받는 버전 :
- apache log4j 2.0-alpha1 ~ 2.17.0 모든버전 (Log4j 2.3.2, Log4j 2.12.4 제외)
* 표준프레임워크에서 각 버전별 최초 배포되는 log4j의 버전은 다음과 같습니다.
----------------------------
1.0 : Log4j 1.3 (JMSAppender, JMSSink, JDBCAppender, Chainsaw를 사용하는 경우)
2.0 : Log4j 1.3 (JMSAppender, JMSSink, JDBCAppender, Chainsaw를 사용하는 경우)
2.5 : Log4j 1.3 (JMSAppender, JMSSink, JDBCAppender, Chainsaw를 사용하는 경우)
2.6 : Log4j 1.3 (JMSAppender, JMSSink, JDBCAppender, Chainsaw를 사용하는 경우)
2.7 : Log4j 1.3 (JMSAppender, JMSSink, JDBCAppender, Chainsaw를 사용하는 경우)
3.0 : Log4j 2.0
3.1 : Log4j 2.0
3.5 : Log4j 2.1
3.6 : Log4j 2.5
3.7 : Log4j 2.8.2
3.8 : Log4j 2.10.0
3.9 : Log4j 2.11.2
3.10 : Log4j 2.12.1
4.0(베타) : : Log4j 2.14.0
----------------------------
□ 대응방안
o JDK8 사용시
- Log4j 2.17.1으로 업데이트
o JDK7 사용시
- Log4j 2.12.4으로 업데이트
o JDK6 사용시
- Log4j 2.3.2으로 업데이트
□ 임시조치방안
o 2.x 버전에서 JndiLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
o 2.x 버전에서 다음 설정을 사용하는 경우 아래의 조치방안으로 조치 적용
- PatternLayout에서 ${ctx:loginId} 또는 $${ctx:loginId}를 (%X, %mdc, or %MDC)로 변경
- ${ctx:loginId} 또는 $${ctx:loginId}를 제거
o 1.x 버전에서 JMSAppender 사용시 설정 삭제
o 1.x 버전에서 JMSSink 클래스 파일 삭제
zip -q -d log4j-*.jar org/apache/log4j/net/JMSSink.class
o 1.x 버전에서 JDBCAppender 클래스 파일 삭제
zip -q -d log4j-*.jar org/apache/log4j/jdbc/JDBCAppender.class
o 1.x 버전에서 Chainsaw 관련 클래스 삭제
zip -q -d log4j-*.jar org/apache/log4j/chainsaw/*
* log4j 1.x버전의 경우 아파치 재단의 추가적인 업그레이드 지원 중지로 인해 다른 보안위협에 노출될 가능성이 높아 향후 2.x 최신버전으로 업데이트를 권고합니다.
[참고사이트]
[1] apache 보안업데이트 현황 : https://logging.apache.org/log4j/2.x/security.html
[2] 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
[3] 신규버전 다운로드 : https://logging.apache.org/log4j/2.x/download.html
[4] 제조사별 현황 : https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
[5] 취약점 대응 가이드 : https://www.boho.or.kr/data/guideView.do?bulletin_writing_sequence=36390
[6] 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046
[7] 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4104
[8] 취약점 정보 : https://nvd.nist.gov/vuln/detail/CVE-2021-45105
[9] 취약점 정보 : https://nvd.nist.gov/vuln/detail/CVE-2021-44832
[10] 신규버전 다운로드 : https://logging.apache.org/log4j/2.x/download.html
* 세부사항 자주묻는 질문 참조
https://www.egovframe.go.kr/home/faqinfo/faqinfoRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=68&faqId=FAQ_0000000000000812
=======================================
기타 문의사항은 표준프레임워크센터 대표번호 1566-3598으로 연락 부탁드리겠습니다.
표준프레임워크 실행환경 공통기반에서 제공하는 log4j 관련하여 보안취약점이 발표되었습니다.
아래의 내용을 확인하시어 즉시 조치하여 주시기 바랍니다.
=======================================
□ 개요
o Apache 소프트웨어 재단은 자사의 Log4j 2에서 발생하는 취약점을 해결한 보안 업데이트 권고[1]
o 공격자는 해당 취약점을 이용하여 악성코드 감염 등의 피해를 발생시킬수 있으므로, 최신 버전으로 업데이트 권고
□ 주요 내용
o Apache Log4j 2에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)[2]
o Apache Log4j 2에서 발생하는 원격코드 실행 취약점(CVE-2021-44832)[9]
o Apache Log4j 2에서 발생하는 서비스 거부 취약점(CVE-2021-45046)[6]
o Apache Log4j 2에서 발생하는 서비스 거부 취약점(CVE-2021-45105)[8]
o Apache Log4j 1.2에서 발생하는 원격코드 실행 취약점(CVE-2021-4104)[7]
※ Log4j : 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티
□ 영향을 받는 버전 :
- apache log4j 2.0-alpha1 ~ 2.17.0 모든버전 (Log4j 2.3.2, Log4j 2.12.4 제외)
* 표준프레임워크에서 각 버전별 최초 배포되는 log4j의 버전은 다음과 같습니다.
----------------------------
1.0 : Log4j 1.3 (JMSAppender, JMSSink, JDBCAppender, Chainsaw를 사용하는 경우)
2.0 : Log4j 1.3 (JMSAppender, JMSSink, JDBCAppender, Chainsaw를 사용하는 경우)
2.5 : Log4j 1.3 (JMSAppender, JMSSink, JDBCAppender, Chainsaw를 사용하는 경우)
2.6 : Log4j 1.3 (JMSAppender, JMSSink, JDBCAppender, Chainsaw를 사용하는 경우)
2.7 : Log4j 1.3 (JMSAppender, JMSSink, JDBCAppender, Chainsaw를 사용하는 경우)
3.0 : Log4j 2.0
3.1 : Log4j 2.0
3.5 : Log4j 2.1
3.6 : Log4j 2.5
3.7 : Log4j 2.8.2
3.8 : Log4j 2.10.0
3.9 : Log4j 2.11.2
3.10 : Log4j 2.12.1
4.0(베타) : : Log4j 2.14.0
----------------------------
□ 대응방안
o JDK8 사용시
- Log4j 2.17.1으로 업데이트
o JDK7 사용시
- Log4j 2.12.4으로 업데이트
o JDK6 사용시
- Log4j 2.3.2으로 업데이트
□ 임시조치방안
o 2.x 버전에서 JndiLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
o 2.x 버전에서 다음 설정을 사용하는 경우 아래의 조치방안으로 조치 적용
- PatternLayout에서 ${ctx:loginId} 또는 $${ctx:loginId}를 (%X, %mdc, or %MDC)로 변경
- ${ctx:loginId} 또는 $${ctx:loginId}를 제거
o 1.x 버전에서 JMSAppender 사용시 설정 삭제
o 1.x 버전에서 JMSSink 클래스 파일 삭제
zip -q -d log4j-*.jar org/apache/log4j/net/JMSSink.class
o 1.x 버전에서 JDBCAppender 클래스 파일 삭제
zip -q -d log4j-*.jar org/apache/log4j/jdbc/JDBCAppender.class
o 1.x 버전에서 Chainsaw 관련 클래스 삭제
zip -q -d log4j-*.jar org/apache/log4j/chainsaw/*
* log4j 1.x버전의 경우 아파치 재단의 추가적인 업그레이드 지원 중지로 인해 다른 보안위협에 노출될 가능성이 높아 향후 2.x 최신버전으로 업데이트를 권고합니다.
[참고사이트]
[1] apache 보안업데이트 현황 : https://logging.apache.org/log4j/2.x/security.html
[2] 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
[3] 신규버전 다운로드 : https://logging.apache.org/log4j/2.x/download.html
[4] 제조사별 현황 : https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
[5] 취약점 대응 가이드 : https://www.boho.or.kr/data/guideView.do?bulletin_writing_sequence=36390
[6] 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046
[7] 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4104
[8] 취약점 정보 : https://nvd.nist.gov/vuln/detail/CVE-2021-45105
[9] 취약점 정보 : https://nvd.nist.gov/vuln/detail/CVE-2021-44832
[10] 신규버전 다운로드 : https://logging.apache.org/log4j/2.x/download.html
* 세부사항 자주묻는 질문 참조
https://www.egovframe.go.kr/home/faqinfo/faqinfoRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=68&faqId=FAQ_0000000000000812
=======================================
기타 문의사항은 표준프레임워크센터 대표번호 1566-3598으로 연락 부탁드리겠습니다.