log4j-2.15.0 미만의 버전에서 보안 취약성이 검출되었습니다. (라이브러리 중 log4j-core 모듈)
CVE-2021-44228, 이는 Log4Shell 혹은 LogJam 이라고 합니다.
이 취약점은 JNDI와 LDAP을 이용하여 명령어 실행이 가능하다.
log4j에는 ${} 기반으로 자바 객체를 볼수 있는 문법이 존재한다. 이를 이용하여 취약점을 공격한다.
해당 취약점은 log4j-2.x 이상만 해당되며 1.x 버전은 해당하지 않는다
1.2.x 버전에 대한 취약점은 JMSAppender를 사용했을때, 2.x 버전과 같은 취약점이 발견될 수 있다고 하네요
해결
- 2.15.0 이상의 버전으로 업그레이드 하는 방법
- 2.10.0 이상은 옵션을 추가하는 방법으로 JNDI 파싱을 막는 방법이다. 자바 실행 옵션 추가
-Dlog4h2.formatMsgNoLookups=true
- 2.7.0 이상은 log4j 설정에서 PatternLayout 속성에서 %m 을 %m{nolookups}로 교체한다
- 이하의 버전에서는 JndiLookup 클래스와 JndiManager 클래스를 읽지 못하게 조히해야한다.
참고자료
https://namu.wiki/w/Log4j%20보안%20취약점%20사태
'IT > Apache' 카테고리의 다른 글
| [Apache][mod_headers] HTTP Header 다루기, Set-Cookie 변경 (0) | 2020.06.17 |
|---|
댓글