log4j 최악의 보안 취약점 사태 및 조치방법

 

https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389 

KISA 인터넷 보호나라&KrCERT

급한 만큼 조치방법에대해 바로 설명하겠다.

1. 해결방안 [ kisa 내용 참조]

 ① 2.0-beta9 ~ 2.10.0 - JndiLookup 클래스를 경로에서 제거 : zip -q -d log4j-core- *.jar  org/apache/logging/log4j/core/lookup/JndiLookup.class

 ② 2.10 ~ 2.14.1
   - log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정

 ③ 제조사 홈페이지를 통해 최신버전(2.15.0)으로 업데이트 적용[3]

 

2. log4j란?

 - '코딩 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티'이다.

 

3. log4j 취약점 발견 내용 요약

 - 아래 나무위키 내용을 참조하였다.

 - 해당 버그는 2021년 11월 24일, 알리바바 클라우드 보안팀의 Chen Zhaojun가 발견했다.
    2021년 11월 30일, 해당 문제를 수정하는 PR이 log4j 깃허브에 올라왔다.
    2021년 12월 9일이 되기 수 일 전부터 해당 취약점을 이용한 시도가 있었을 것으로 추정되며, 12/09 23:25 KST,[4] 트위터에 한 게시글이 올라옴으로써 본격적으로 알려지기 시작했다.

『https://namu.wiki/w/2021%EB%85%84%20%EC%9E%90%EB%B0%94%20%EB%B3%B4%EC%95%88%20%EC%B7%A8%EC%95%BD%EC%A0%90%20%EC%82%AC%ED%83%9C』