수신 : 마이호스팅 KT-IDC 이용고객님
발신 : 마이호스팅 IDC운영팀
이미 언론을 통해 많이 알려졌지만 컴퓨터 역사상 최악의 취약점이라
불리는 Log4j 2 보안 취약점은
업데이트를 하지 않을 경우,
공격자가 외부에서 악성코드를 실행하는 등의 피해가 있을 수 있으므로
긴급 조치가 필요한 치명적인 결함으로 분류되어
있습니다. (CVSS 스코어 10점 - 가장 높은 심각도)
이에 마이호스팅에서는 한국인터넷진흥원(KISA)에서 배포한 권고사항 전문을 전달 드림과 동시에
현재 서비스 중인 고객서버에 Log4j가 설치되어 있는지 확인하는 방법을 안내드리도록 하겠습니다.
* Log4j 설치 여부 확인법 (Linux OS)
# rpm -ql
log4j (패키지 설치시)
또는
# rpm -qa
| grep log4j (RedHat CentOS 계열)
# dpkg -l
| grep log4j (Ubuntu Debian 계열)
# find /
-name 'log4j*' (log4j 문자열 검색)
* Log4j 설치 여부 확인법 (Windows OS)
- 윈도우 OS의 경우 검색창에
log4j를 검색한다
log4j 설치 자체가 문제되는 것은 아니고
검색 결과에
"log4j-core-" 가 있는 경우에는
다음의 조치를 반드시 수행하여야 합니다.
1. log4j 2.15 버전 이상으로 업데이트를 한다.
- https://logging.apache.org/log4j/2.x/download.html
(최신버전)
2. KISA에서 배포한 버전별 해결 방안을 참조 (아래 붉은색 표시함)
----- 한국인터넷진흥원(KISA) 긴급 보안조치 권고문 전문 21/12/11 -----
□ 개요
o Apache 소프트웨어 재단은 자사의 Log4j 2에서 발생하는 취약점을
해결한 보안 업데이트 권고[1]
o 공격자는 해당 취약점을 이용하여 악성코드 감염 등의 피해를 발생시킬수 있으므로, 최신 버전으로 업데이트 권고
□ 주요 내용
o Apache Log4j 2*에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)[2]
* 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티
□ 영향을 받는 버전
o 2.0-beta9 ~ 2.14.1
모든버전
□ 해결방안[1]
o
2.0-beta9 ~ 2.10.0
JndLookup 클래스를 경로에서 제거 :
zip
-q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
o 2.10 ~
2.14.1
log4j2.formatMsgNoLookups 또는
LOG4J_FORMAT_MSG_NO_LOOKUPS
환경변수를 true로
설정
o 제조사 홈페이지를 통해 최신버전(2.15.0)으로 업데이트
적용[3]
□ 기타 문의사항
o 한국인터넷진흥원 사이버민원센터: 국번없이 118
[참고사이트]
[1] https://logging.apache.org/log4j/2.x/security.html
[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
[3] https://logging.apache.org/log4j/2.x/download.html
감사합니다.
마이호스팅 IDC운영팀
올림.
* 별도로 다운받으시려면 첨부파일을 받으시거나 마우스 오른쪽
버튼을 클릭하여 다른이름으로 대상저장을 하시기 바랍니다.