Apache Log4j 1.2 취약점 업데이트 방법

2021.12.14 게시된 'Apache Log4j 제품 업데이트 권고'(CVE-2021-45046)를 포함하는 내용으로,

log4j 1.2에 대한 취약점이 추가로 확인되어 관련 내용을 추가 공지합니다.

주요 내용
Apache Log4j 2에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)
Apache Log4j 2에서 발생하는 서비스 거부 취약점(CVE-2021-45046)
Apache Log4j 1.2에서 발생하는 원격코드 실행 취약점(CVE-2021-4104)
※ Log4j : 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티

영향을 받는 버전
CVE-2021-44228 - 2.0-beta9 ~ 2.14.1 버전

CVE-2021-45046 - 2.0-beta9 ~ 2.12.1 및 2.13.0 ~ 2.15.0 버전
CVE-2021-4104 - 1.2 버전
※ JMSAppender를 사용하지 않는 경우 취약점 영향 없음
※ log4j 1.x버전 사용자의 경우 추가적인 업그레이드 지원 중지로 인해 다른 보안위협에 노출될 가능성이 높아 최신버전 업데이트 적용 권고

대응방안

Log4j 2.12.2 다운로드 링크

https://logging.apache.org/log4j/log4j-2.12.1/download.html

Log4j – Download Apache Log4j 2 - Apache Log4j 2

<!-- Licensed to the Apache Software Foundation (ASF) under one or more contributor license agreements. See the NOTICE file distributed with this work for additional information regarding copyright ownership. The ASF licenses this file to You under the Apa

logging.apache.org

Log4j 2.16.0 다운로드 링크

https://logging.apache.org/log4j/2.x/download.html

Log4j – Download Apache Log4j 2

logging.apache.org

CVE-2021-44228, CVE-2021-45046 
Java 8 : Log4j 2.16.0으로 업데이트
Java 7 : Log4j 2.12.2으로 업데이트

임시조치방안 : JndiLookup 클래스를 경로에서 제거 : 
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

임시조치방안은 게시된 취약점에 대한 임시적 조치로 신규 버전으로 업그레이드를 권장함 
log4j-core JAR 파일 없이 log4j-api JAR 파일만 사용하는 경우 위 취약점의 영향을 받지 않음 
패치 적용 시 JNDI 기능이 기본 비활성화 되므로, 기능을 사용중인 경우 영향도를 고려하여 업데이트 

CVE-2021-4104 
Java 8 : Log4j 2.16.0으로 업데이트
Java 7 : Log4j 2.12.2으로 업데이트

저작자표시 비영리 변경금지 (새창열림)

'👨🏻‍💻Infra > 🟦WEB & WAS' 카테고리의 다른 글

Apache Log4j 2.16.0 업데이트 방법 (Log4j 2.12.2 포함) (0)	2021.12.15
Apache Log4j2 취약점 해결방법 (0)	2021.12.12
PHP Redis (0)	2021.03.26
Apache client denied by server configuration (0)	2020.12.15
PHP7 SSH2 (0)	2020.10.27

'👨🏻‍💻Infra > 🟦WEB & WAS' 카테고리의 다른 글

티스토리툴바