Apache Log4j 2 취약점 (CVE-2021-44228)
Apache Log4j 2 취약점 (CVE-2021-44228)
오픈소스 Apache Log4j2 원격 명령 실행 취약점이 발견되어 빠른 업데이트가 필요하다.
Log4j의 경우 많은 사이트 및 프로그램에 적용된 유틸로 취약점 영향을 받는 대상이 많을 것으로 보인다.
Log4j 란?
log4j는 프로그램을 작성하는 도중에 로그를 남기기 위해 사용되는 자바 기반 로깅 유틸리티로 디버그용 도구로 주로 사용되고 있다.
취약점 대상 및 버전
Apache Log4j 2.0-beta9 ~ 2.14.1 모든버전
* Ahnlab 보안공지 출처 :https://asec.ahnlab.com/ko/29479/
Apache Log4j 2 취약점 주의 및 업데이트 권고(CVE-2021-44228) - ASEC BLOG
Apache Log4j 2 취약점(CVE-2021-44228)이 2021년 12월 10일 POC와 함께 트윗 및 Github에 공개되었다. 해당 취약점은 Log4j 소프트웨어의 원격 코드 실행(RCE) 취약점으로 로그 메시지에 원격의 자바 객체 주소를
asec.ahnlab.com
** Log4j 2.15.0은 Java 8에서 이용 가능하여 Log4j 패치 버전을 설치하는 경우 Java 버전 업을 우선적으로 진행해야한다.
출처 : https://www.tenable.com/blog/cve-2021-44228-proof-of-concept-for-critical-apache-log4j-remote-code-execution-vulnerability
CVE-2021-44228: Proof-of-Concept for Critical Apache Log4j Remote Code Execution Vulnerability Available (Log4Shell)
Critical vulnerability in the popular logging library, Log4j 2, impacts a number of services and applications, including Minecraft, Steam and Apple iCloud. Attackers have begun actively scanning for and attempting to exploit the flaw.
www.tenable.com
* KISA 보안공지 출처: https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
* 관련기사 출처 : https://www.edaily.co.kr/news/read?newsId=01203766629277864&mediaCodeNo=257
[긴급] 인터넷 로그기록 프로그램 ‘아파치 Log4j 2’ 보안패치 권고
과학기술정보통신부(장관 임혜숙)가 Apache Log4j 2 서비스에 대한 보안취약점이 발견됨에 따라 긴급 보안업데이트를 권고했다.공격자가 관련 취약점을 악요하면 악성코드 감염 등의 피해를 발생
www.edaily.co.kr
'IT Security > Vulnerability' 카테고리의 다른 글
| [긴급] 취약점) CVE-2021-45046 - Apache Log4j2 신규 취약점 발견 및 패치 배포 (21.12.15) (0) | 2021.12.15 |
|---|---|
| [긴급] 취약점) Apache Log4j 2 취약점 (CVE-2021-44228) PoC 및 취약점 스캐너 (0) | 2021.12.13 |
| 취약점) XXE Injection (0) | 2021.11.01 |
| 취약점) CVE-2019–11581 Jira 원격 코드 실행 취약점 (0) | 2020.04.05 |
| 취약점) CVE-2020-0796 SMB 취약점 (0) | 2020.03.17 |