로픽의 IT블로그

CVE-2021-45105 PoC / Log4j2 취약점 테스트 CVE-2021-45105 공개 후 해당 취약점에 대한 PoC도 github에 공개되었습니다. 핵심 공격 구문은 ${${::-${::-$${::-$}}}} 입니다. 보안공지 및 기사를 확인했을때 공격자가 'X-Api-Version' 헤더에 특정 문자열(${${::-${::-$${::-$}}}})을 포함한 요청을 대상 서버에 전송하는 경우, log4j에서 로그를 저장하는 과정에서 StackOverFlow 오류를 발생시켜 해당 프로세스가 종료될 수 있다고 합니다. * PoC 테스트 (모바일 환경에서 이미지 확인이 어려울 수 있습니다) - 제공된 환경에서 테스트시 "Infinite loop in Property ....." 란 에러메시지를 출력합..

Apache Log4j 2 취약점 (CVE-2021-44228) Apache Log4j 2 취약점 (CVE-2021-44228) 오픈소스 Apache Log4j2 원격 명령 실행 취약점이 발견되어 빠른 업데이트가 필요하다. Log4j의 경우 많은 사이트 및 프로그램에 적용된 유틸로 취약점 영향을 받는 대상이 많을 것으로 보인다. Log4j 란? log4j는 프로그램을 작성하는 도중에 로그를 남기기 위해 사용되는 자바 기반 로깅 유틸리티로 디버그용 도구로 주로 사용되고 있다. 취약점 대상 및 버전 Apache Log4j 2.0-beta9 ~ 2.14.1 모든버전 * Ahnlab 보안공지 출처 :https://asec.ahnlab.com/ko/29479/ Apache Log4j 2 취약점 주의 및 업데이트 ..