[보안] Apache log4j2 취약점 cve-2021-44228에 대한 설명
작성자
eslim
작성일
2021-12-22 17:50
조회
1032
Apache log4j2 취약점 요약
Apache Log4j2 <=2.14.1 구성, 로그 메시지 및 매개변수에 사용되는 JNDI 기능은 공격자가 제어하는 LDAP 및 기타 JNDI 관련 엔드포인트로부터 보호 되지 않습니다.
"Message lookup substitution"이 활성화된 경우 공격자는 LDAP 서버에서 로드된 로그 메시지 또는 로그 메시지 매개변수를 제어 및 임의의 코드를 실행 및 할 수 있습니다.
log4j 2.15.0부터 이 취약점은 기본적으로 비활성화되어 있습니다.
이전 릴리스(>2.10)에서 이 취약점은 시스템 속성 "log4j2.formatMsgNoLookups"를 "true"로 설정하여 보완 할 수 있고 이전 릴리스(<2.10)에서는 JndiLookup 클래스를 클래스패스에서 (예: zip - q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class) 제거 함으로 보완 할 수 있습니다.
이슬림 코리아 전 제품은 log4j-core JAR 파일 없어 취약점 영향을 받지는 않습니다.
Eslim Korea는 지속적으로 공지사항에 관련 내용을 업데이트 할 예정입니다.
영향을 받는 제품
Apache Log4j2 <=2.14.1 구성, 로그 메시지 및 매개변수에 사용되는 JNDI 기능은 공격자가 제어하는 LDAP 및 기타 JNDI 관련 엔드포인트로부터 보호 되지 않습니다.
"Message lookup substitution"이 활성화된 경우 공격자는 LDAP 서버에서 로드된 로그 메시지 또는 로그 메시지 매개변수를 제어 및 임의의 코드를 실행 및 할 수 있습니다.
log4j 2.15.0부터 이 취약점은 기본적으로 비활성화되어 있습니다.
이전 릴리스(>2.10)에서 이 취약점은 시스템 속성 "log4j2.formatMsgNoLookups"를 "true"로 설정하여 보완 할 수 있고 이전 릴리스(<2.10)에서는 JndiLookup 클래스를 클래스패스에서 (예: zip - q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class) 제거 함으로 보완 할 수 있습니다.
이슬림 코리아 전 제품은 log4j-core JAR 파일 없어 취약점 영향을 받지는 않습니다.
Eslim Korea는 지속적으로 공지사항에 관련 내용을 업데이트 할 예정입니다.
영향을 받는 제품
| 제품 | 영향여부 (예/아니오/조사중) |
| 서버 | 아니오 |
| 스토리지 | 아니오 |
| 스위치 | 아니오 |