Apache Log4j2 신규 취약점 발견 (CVE-2021-45046)
출처 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046
CVE - CVE-2021-45046
It was found that the fix to address CVE-2021-44228 in Apache Log4j 2.15.0 was incomplete in certain non-default configurations. This could allows attackers with control over Thread Context Map (MDC) input data when the logging configuration uses a non-def
cve.mitre.org
Second Log4j vulnerability discovered, patch already released | ZDNet
Apparently the patch for the first vulnerability was "incomplete."
www.zdnet.com
최근 발생한 Log4Shell 취약점 대응을 위해 신규 배포된 Log4j2 2.15 버전에서 신규 취약점이 발견되었습니다.
신규로 발견된 취약점은 CVE-2021-45046 으로 JNDI 조회 패턴을 사용하여 악의적인 입력 데이터를 조작하여 DOS 공격을 일으킬 수 있다고 합니다.
위 취약점 대응을 위한 패치(2.16)는 이미 나온 상황으로 패치에서 JNDI 기능 비활성화를 적용하였다고 합니다.
신규 패치 적용 후 지속적인 모니터링이 필요할 것으로 보입니다
* Apache Log4j2 2.16 (Maven)
출처 : https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j/2.16.0
'IT Security > Vulnerability' 카테고리의 다른 글
| 취약점) CVE-2021-45105 / Log4Shell 3번째 신규 취약점 발견 (0) | 2021.12.19 |
|---|---|
| 취약점) Log4Shell 취약점 점검 스캐너 - logpress (CVE-2021-44228 / CVE-2021-45046) (3) | 2021.12.16 |
| [긴급] 취약점) Apache Log4j 2 취약점 (CVE-2021-44228) PoC 및 취약점 스캐너 (0) | 2021.12.13 |
| [긴급] 취약점) Apache Log4j 2 취약점 (CVE-2021-44228) (0) | 2021.12.12 |
| 취약점) XXE Injection (0) | 2021.11.01 |