취약점) CVE-2021-45105 / Log4Shell 3번째 신규 취약점 발견

CVE-2021-45105 / Log4Shell 3번째 신규 취약점 발견

 

Log4Shell 관련 3번째 신규 취약점이 발견되었습니다.

3번째 취약점의 경우 2번째 발견된 취약점(CVE-2021-45046) 과 유사하게 Dos 공격을 유발한다고 합니다.

---

 

* 취약점 설명 (벤더사 설명)

로깅 구성에서 컨텍스트 룩업이 포함된 패턴 레이아웃(예: ${ctx:loginId})을 사용하면 MDC(Thread Context Map) 입력 데이터를 제어하는 공격자가 재귀 룩업을 포함하는 악의적인 입력 데이터를 조작하여 프로세스를 종료할 수 있습니다.

 

* 영향 받는 버전

2.0-beta9 ~ 2.16.0 버전 (Log4j 2.12.3 제외)

 

* CVSS Score

7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

 

* 피해 정도

서비스 거부

 

* 대응 방안

- Log4j 1.x 취약점 영향 없음.

 

- Log4j2 2.x (KISA 보호나라 권고사항)

  1) Java 8 : Log4j 2.17.0으로 업데이트
     ※ Java 7 버전의 경우 Apache 보안업데이트가 완료될 경우 게시 예정
     ※ log4j-core-*.jar 파일 없이 log4j-api-*.jar 파일만 사용하는 경우 위 취약점의 영향을 받지 않음

    * 신규 업데이트가 불가능할 경우 아래의 조치방안으로 조치 적용

       - ${ctx:loginId} 또는 $${ctx:loginId}를 제거

      - PatternLayout에서 ${ctsx:loginId} 또는 $${ctx:loginId}를 (%X, %mdc, or %MDC)로 변경

 

* 신규버전 다운로드

https://logging.apache.org/log4j/2.x/download.html

Log4j – Download Apache Log4j 2

 

 

***** [21.12.21 수정] CVE-2021-45105 PoC 추가 *****

https://lopicit.tistory.com/508

취약점) CVE-2021-45105 PoC / Log4j2 취약점 테스트

 

 

---

출처 : KISA 보호나라 https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36397 

KISA 인터넷 보호나라&KrCERT

 

출처 : Apahce Log4j https://logging.apache.org/log4j/2.x/download.html

Log4j – Download Apache Log4j 2

 

출처 : NVD 취약점 정보 https://nvd.nist.gov/vuln/detail/CVE-2021-45105

NVD - CVE-2021-45105