로픽의 IT블로그

CVE-2021-45105 PoC / Log4j2 취약점 테스트 CVE-2021-45105 공개 후 해당 취약점에 대한 PoC도 github에 공개되었습니다. 핵심 공격 구문은 ${${::-${::-$${::-$}}}} 입니다. 보안공지 및 기사를 확인했을때 공격자가 'X-Api-Version' 헤더에 특정 문자열(${${::-${::-$${::-$}}}})을 포함한 요청을 대상 서버에 전송하는 경우, log4j에서 로그를 저장하는 과정에서 StackOverFlow 오류를 발생시켜 해당 프로세스가 종료될 수 있다고 합니다. * PoC 테스트 (모바일 환경에서 이미지 확인이 어려울 수 있습니다) - 제공된 환경에서 테스트시 "Infinite loop in Property ....." 란 에러메시지를 출력합..

CVE-2021-45105 / Log4Shell 3번째 신규 취약점 발견 Log4Shell 관련 3번째 신규 취약점이 발견되었습니다. 3번째 취약점의 경우 2번째 발견된 취약점(CVE-2021-45046) 과 유사하게 Dos 공격을 유발한다고 합니다. * 취약점 설명 (벤더사 설명) 로깅 구성에서 컨텍스트 룩업이 포함된 패턴 레이아웃(예: ${ctx:loginId})을 사용하면 MDC(Thread Context Map) 입력 데이터를 제어하는 공격자가 재귀 룩업을 포함하는 악의적인 입력 데이터를 조작하여 프로세스를 종료할 수 있습니다. * 영향 받는 버전 2.0-beta9 ~ 2.16.0 버전 (Log4j 2.12.3 제외) * CVSS Score 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N..