log4j 취약점 보안 업데이트 CVE-2021-45105
- 보안(Security)
- 2021. 12. 22.
전 세계적으로 화제가 되고 있는 보안 취약점 log4j가 또 다른 영향도가 발생하였습니다.
KISA에서 12월 20일 오전10시반쯤 발표한 내용에 따르면 서비스 거부 취약점이 발견되었다고 합니다. 이 내용에 대해서 알아보겠습니다.
취약점코드
CVE-2021-45105
영향도 버전
- 2.0-beta9 ~ 2.16.0 버전(2.12.3 버전은 제외)
대응방안
JAVA 8의 경우 2.17.0 버전으로 업데이트
(만약 core-.jar 파일 없이 api-.jarq 파일만 사용할 경우 취약점의 영향을 받지 않음)
업데이트 불가할 경우 대안
- Log4j 로깅 구성의 PatternLayout에서 ${ctx:loginId} 또는 $${ctx:loginId}를 (%X, %mdc, or %MDC)로 변경
- ${ctx:loginId} 또는 $${ctx:loginId}를 제거
여기서 HTTP헤더 또는 사용자 입력과 같은 애플리케이션 외부 소스에서 시작됩니다.
해당 취약점은 스레드 컨텍스트 맵 데이터(org.apache.logging.log4j.ThreadContext)를 제어하는 공격자가 제작된 문자열이 해석될 때 서비스 거부 공격을 일으킬 가능성이 존재합니다.