KOSA - Apache Log4j 2 보안 업데이트 권고 및 현황 파악 조사 > 정보공유

본문 바로가기
사이트 내 전체검색

정보공유

KOSA - Apache Log4j 2 보안 업데이트 권고 및 현황 파악 조사

페이지 정보

profile_image
작성자 (⊙o⊙)
댓글 1건 조회 1,137회 작성일 21-12-15 10:24

본문

링크 : 온라인접수 - 한국소프트웨어산업협회 (sw.or.kr)

과학기술정보통신부에서는 Apache Log4j 2(인터넷 로그기록 프로그램) 서비스에 대한 보안취약점이 발견됨에 따라 긴급 보안 업데이트를 권고하고 있습니다.


해당 서비스는 홈페이지의 운영, 관리 등 목적으로 로그기록을 남기기 위해 사용되는 프로그램이며 업데이트를 수행하지 않을 경우 취약점을 악용해 공격자가 원격에서 공격코드를 실행시킬 수 있어 심각한 피해를 입을 수 있습니다.

관련하여 보안취약점 조치에 대한 자세한 사항과 보안공지 내용을 아래와 같이 안내드리니 참고하시어 조치하시기 바랍니다.

또한, 본 보안취약점의 위험성이 높은 만큼 우리 협회 회원사의 Apache Log4j 2(인터넷 로그기록 프로그램) 보안 업데이트 관련 현황을 조사하고 있으니 바쁘시겠지만 잠시 시간을 할애하시어 조사에 참여 부탁드립니다.

감사합니다.


□ 주요 내용

 o Apache Log4j 2*에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)

   * 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티

□ 해결방안

 o 2.0-beta9 ~ 2.10.0

   - JndLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar          
     org/apache/logging/log4j/core/lookup/JndiLookup.class


 o 2.10 ~ 2.14.1
   - log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정

 o 제조사 홈페이지를 통해 최신버전(2.15.0)으로 업데이트 적용

댓글목록

profile_image

wogk116님의 댓글

wogk116 작성일

회원로그인

회원가입

사이트 정보

회사명 : (주)리눅스데이타시스템 / 대표 : 정정모
서울본사 : 서울특별시 강남구 봉은사로 114길 40 홍선빌딩 2층 / tel : 02-6207-1160
대전지사 : 대전광역시 유성구 노은로174 도원프라자 5층 / tel : 042-331-1161

접속자집계

오늘
75
어제
284
최대
727
전체
215,123
Copyright © www.linuxdata.org All rights reserved.