- 6
- 제르엘
- 조회 수 1423
https://news.naver.com/main/read.naver?mode=LSD&mid=sec&sid1=001&oid=214&aid=0001165418
log4j 라이브러리에 심각한 보안 취약점이 발견되었다고 합니다. 제로 데이 공격도 이미 행해졌을 우려도 있다고 하고, 하트블리드급 정도 되는지는 모르겠지만 하트블리드보다 더 심각하다고 평가받을 정도로 취약점의 위험도도 굉장히 높다고 하니 서버 운영하시는 분들은 빨리 확인 한 번 해 보셔야 할 것 같습니다.
일단 제 서버 패키지 목록에는 안 뜨는 것 같은데, 이게 패키지 목록에 뜨는지 모르겠네요.
+) 상황 보니까 하트블리드보다 더 심각한 수준인 것 같습니다. 이거 난리 나겠네요.
님 포함 2명이 추천
추천인 2
작성자
댓글 6
괜찮습니다! 국내 전자정부 프레임워크는 너무 낡아서 최신버전의 결함에 해당되는 log4j 공격이 효과가 없습니다!
2021.12.14. 21:11
팩트) 너무 낡은 나머지 다른 원격 코드 실행 취약점이 존재한다.
2021.12.16. 00:04
나무위키도 벌써
Log4j 보안 취약점 사태 - 나무위키:대문
주말에 전세계 IT 회사들 난리 났어요. 다행이 코로나 덕에 원격으로 일했지만 ㅎㅎㅎㅎㅎ
다음의 조건들의 제품들은 해당 취약점의 영향을 받는다.
- Apache Log4j 2.0-beta9 ~ 2.14.1 모든버전
대응 방안.
Log4j 2.15.0 이상 최신버전으로 업데이트 : https://logging.apache.org/log4j/2.x/download.html
그게 어려우면 아래와 같이 임시조치
- 버전 : 2.0-beta9 ~ 2.10.0
JndiLookup 클래스를 다음과 같이 제거한다.
# zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
- 버전 : 2.10 ~ 2.14.1
시스템 프로퍼티 log4j2.formatMsgNoLookups 또는 환경 변수 LOG4J_FORMAT_MSG_NO_LOOKUPS 의 값을 TRUE 로 변경
ref) https://asec.ahnlab.com/ko/29479/
2021.12.14. 22:42
난리가 안 나는 게 이상하죠. 8년 동안 방치된 대규모 보안 이슌데.
그나저나 위키러 얘네들은 벌써 취약점 이용해서 마크로 둠 돌리는 영상까지 링크 걸어놨네요.
그나저나 위키러 얘네들은 벌써 취약점 이용해서 마크로 둠 돌리는 영상까지 링크 걸어놨네요.
2021.12.16. 00:06
접속 안된지 꽤 여러날 되었잖아요.
2021.12.15. 16:29
이건 접속 문제가 아니라 보안 취약점 얘깁니다만...?
2021.12.16. 00:06
권한이 없습니다.