[긴급] Apache Log4j 2.x 버전 보안 업데이트 권고
안녕하세요, 클라우드 마이그레이션 전문 기업 오픈소스컨설팅입니다.

12월 10일, Log4Shell 이라는 부르는 보안취약점(CVE-2021-44228)이 발표되었습니다.
사용자의 입력을 Log4j 를 통해 로깅을 시도할 때, jndi lookup 코드를 전송하여 로깅을 하지 않고,
시스템 권한을 탈취할 수 있는 원격 공격 방식(RCE; Remote Code Execution)입니다.
이에 대한 취약점 조치 권고를 아래와 같이 안내 드리오니 참고하여 주시기 바랍니다.
 

보안 취약점 주요 내용
     
    영향을 받는 버전
    • 2.0-beta9 ~ 2.14.1
     
    보안 취약점 해결 방법 (권장)
    • Log4j 2.15.0 으로 업그레이드
     
    워크어라운드 해결 방법
    1. Log4j 2.0-beta9 ~ 2.10.0 버전 (권장)
    log4j-core-*.jar 파일에서 org/apache/logging/log4j/core/lookup/JndiLookup.class 삭제
    명령어로는
    zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
    입니다.

    2. Log4j 2.10 ~ 2.14.1 버전
    시스템 속성 log4j2.formatMsgNoLookups 또는
    Log4j 속성 LOG4J_FORMAT_MSG_NO_LOOKUPS 값을 "true" 로 변경을 가이드하고 있습니다.
    적용 방법으로는, -Dlog4j2.formatMsgNoLookups=true 을 설정합니다.

    자세한 내용은 아래 KISA 가이드를 참고 부탁 드립니다.


    Atlassian 사용자들도 영향이 있나요??

    Atlassian 공지에 따르면, 기본 구성으로 사용 시에는 현재 문제가 된 Log4j remote code execution vulnerability (CVE-2021-44228) 보안취약점에 해당되지 않습니다. 
    관련하여(CVE-2021-44228) 보안취약점 관련 Atlassian FAQ 공유 드립니다.

    만약, JMS Appender(org.apache.log4j.net.JMSAppender) 방식으로 변경 하신 경우, 영향이 있으니 해당 형식을 사용하지 않도록 권장하고 있습니다.

    추가로 문의 사항이 있으시면, 아틀라시안팀 영업 대표(이순우 부장_010-7335-0776)에게 연락 바랍니다.

    감사합니다. 
     

    Open Source Consulting Inc.
    서울특별시 강남구 테헤란로83길 32(나라키움삼성동A빌딩), 5층 
    event@osci.kr   |  02-516-0711