Apache log4j 취약점 보안 업데이트 권고 해결하기 (CVE-2021-44228)

CVE-2021-44228 - 아파치 소프트웨어의 자바 언어로 제작된 Log4j 라이브러리를 사용하는 대부분의 웹서비스에서 전 세계적으로 중대한 취약점이 발견되었습니다.

컴퓨터 인터넷 역사를 통틀어 사상 최악의 보안 결함일 수도 있다고 경고했을 정도인데요.

Log4j는 Java/Kotlin/Scala 코딩 과정에서 프로그램 로그를 기록하는 라이브러리 입니다.

개발 툴에서 라이브러리를 추가해서 프로그램 실행 시 자동으로 지정한 경로에 로그를 저장해주는 기능을 합니다.

취약점이 발생되고 Apache 소프트웨어 재단은 자사의 Log4j2 에서 발생하는 취약점을 해결한 보안 업데이트를 권고했습니다.

공격자는 해당 취약점을 이용하여 악성코드 감염 등의 피해를 발생시킬 수 있어 최신 버전으로 업데이트를 권고합니다.

영향을 받는 버전은 다음과 같습니다.

○ Apache Log4j2

- 2.0-beta9 ~ 2.14.1 모든 버전

○ Apache Log4j2를 사용하는 제품

해결방안

- Apache 홈페이지를 통해 최신 버전 (2.15.0)으로 업데이트

Apache Log4j2 2.15.0 다운로드

※ log4j 1.x 버전의 경우 업그레이드 지원 중지로 인해 다른 보안위협에 노출될 가능성이 높아 최신버전으로 업데이트 권고

최신버전으로 업데이트가 불가한 경우

- JndiLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

※ log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정

참고사이트 : 침해사고분석단 취약점분석팀