1. CVE-ID : CVE-2021-4104
참고로, Apache Log4J는 효율적인 로그를 남기기 위한 프레임워크 입니다.
Apache Log4j 2에 대한 보안업데이트 권고사항은 https://blueyikim.tistory.com/2282 참고할것
2. 보안 이슈 설명
* CVE-2021-4104 : https://nvd.nist.gov/vuln/detail/CVE-2021-4104
- Log4j 1.2의 JMSAppender는 공격자가 Log4j 구성에 대한 쓰기 액세스 권한을 가질 때 신뢰할 수 없는 데이터의 역직렬화에 취약합니다.
- 공격자는 TopicBindingName 및 TopicConnectionFactoryBindingName 구성을 제공하여 JMSAppender가 CVE-2021-44228과 유사한 방식으로 원격 코드 실행을 초래하는 JNDI 요청을 수행하도록 할 수 있습니다.
- 영향받는 버전 : 1.2 (JMSAppender 사용 설정 시)
3. 권고안
· Apache Log4j 2.12.2 (Java 7 필요) 또는 Apache Log4j 2.16 (Java 8 필요) 으로 업데이트
참고로, Apache Log4j 1.2는 2015년 8월에 수명이 종료
· Apache Log4j 2로 업그레이드가 어려운 경우 : JMSAppender 사용하지 않도록 설정 변경
[자료참조] https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389
[참고URL] Log4J 다운로드 : https://logging.apache.org/log4j/2.x/download.html
'프로그래밍 언어 > JAVA' 카테고리의 다른 글
| [명령어] javap 명령어 (0) | 2022.10.17 |
|---|---|
| [정보] Java에서 assert 사용하기 (0) | 2022.06.06 |
| [Tips] 자바에서 Runtime 클래스 (0) | 2021.12.20 |
| [정보] Apache Log4j 2 보안 업데이트 권고 사항 (0) | 2021.12.14 |
| [Tips] 환경변수 가져오는 방법 (0) | 2021.11.07 |