[Spring Boot] Log4j2 취약점에 대한 대응책 (CVE-2021-44228, CVE-2021-45105) :: 로재의 개발 일기

ABOUT ME

-

Today: -

Yesterday: -

Total: -

[Spring Boot] Log4j2 취약점에 대한 대응책 (CVE-2021-44228, CVE-2021-45105)

취약점대응 2021. 12. 12. 02:59
해당 글은 아래서도 확인이 가능합니다.
https://rlog.or.kr/post/96

[Spring Boot] Log4j2 취약점에 대한 대응책 (CVE-2021-44228)

Log4j2 취약점(CVE-2021-44228)으로 인한 스프링 서버 대응책. 스프링 재단에서 권고하는 버전인 Log4j (v2.15.0)로 강제 업데이트를 진행.

rlog.or.kr

⚙️ 수정내역

1. 취약점 : CVE-2021-45105

취약버전 : 2.0-beta9 ~ 2.16.0 버전 (Log4j 2.12.3 제외)

~~취약점 CVE-2021-45105으로 인해서 log4j 2.17.0으로 업데이트가 필요하다.~~

취약점 CVE-2021-45105으로 인해서 log4j 2.17.1으로 업데이트가 필요하다.

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36397

KISA 인터넷 보호나라&KrCERT

KISA 인터넷 보호나라&KrCERT

www.boho.or.kr

2. 취약점 : CVE-2021-45105, CVE-2021-45046 and CVE-2021-44228

Java 6 : 2.3.2

Java 7 : 2.12.4

Java 8, 8+ : 2.17.1

https://logging.apache.org/log4j/2.x/

Log4j – Apache Log4j 2

 <log4j2.version>2.17.1</log4j2.version> </properties>

변경된 의존성을 적용해주고 (mvn install 명령어를 통해서)
log4j의 버전을 확인한다.

./mvnw dependency:list | grep log4j

이때 ~~2.15.0 버전~~ 2.17.0버전 으로 업데이트가 되었다면, 성공이다.

(2021.12.20 수정 : 취약점 CVE-2021-45105으로 인해서 log4j 2.17.1으로 업데이트가 필요하다.)

~~2. 실행 옵션 추가~~

~~라이브러리 버전 업그레이드가 어려운 경우, 사용~~

(2021.12.20 수정 : 실행 옵션을 통해서, 해결 가능한지 검토 중입니다. )

java -Dlog4j2.formatMsgNoLookups=true -jar [appName].jar

(2021.12.20 수정 : 취약점 CVE-2021-45105으로 인해서 log4j 2.17.1으로 업데이트가 필요하다.)

📑 결과

1. log4j 버전 업그레이드

log4j를 업데이트를 하여 취약점 보완완료

~~(2021.12.20 수정 : 취약점 CVE-2021-45105으로 인해서 log4j 2.17.0으로 업데이트가 필요하다.)~~

(2022.05 수정 : 취약점 CVE-2021-45105으로 인해서 log4j 2.17.1으로 업데이트가 필요하다.)

2. 실행 커맨드 옵션 확인

# 띄어쓰기 주의 # 옵션 : 프로세스 아이디, 실행 계정, 수행 기간, 실행 커맨드 ps -eo pid,user,etime,cmd | grep java | grep log4j

java 프로세스의 커맨드에 log4j 옵션이 달려 있는지 확인하자.

🙋🏻‍♂️ 후기

Log4j가 문제가 많은 건 알았지만, 이번 사건으로 인해서 사용이 급감할 것 같다.

+ 추가내용

취약점 대상
apache log4j2 : 2.0-beta9 ~ 2.14.1

전자정부 프레임워크
전자정부 표준 프레임워크는 3.1부터 Log4j2.0을 사용하고 있다.
(전자정부 프레임워크가 버전 1이여서 상관없다는 말은 정확한 말이 아니다. 오히려 버전1은 과거 해킹 기법에 취약해서 업그레이드 + KISA 권장 조취가 필요하다)

전자정부 프레임워크 버전 (log4j 취약)

https://www.egovframe.go.kr/home/ntt/nttRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=74&bbsId=6&nttId=1838

공지사항 | 표준프레임워크 포털 eGovFrame

처리중입니다. 잠시만 기다려주십시오.

www.egovframe.go.kr

----------------------------
3.1 : Log4j 2.0
3.5 : Log4j 2.1
3.6 : Log4j 2.5
3.7 : Log4j 2.8.2
3.8 : Log4j 2.10.0
3.9 : Log4j 2.11.2
3.10 : Log4j 2.12.1
4.0(베타) : : Log4j 2.14.0
----------------------------

현재 각 보안사들은 무료로 log4j 스캐너 제공 중이다.

https://labrador.iotcube.com/

labrador

labrador.iotcube.com

위에서 보지 못한 분을 위해서 추가

취약점 : CVE-2021-45105

취약버전 : 2.0-beta9 ~ 2.16.0 버전 (Log4j 2.12.3 제외)

취약점 CVE-2021-45105으로 인해서 ~~log4j 2.17.0~~ log4j 2.17.1으로 업데이트가 필요하다.

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36397

KISA 인터넷 보호나라&KrCERT

KISA 인터넷 보호나라&KrCERT

www.boho.or.kr

https://logging.apache.org/log4j/2.x/

Log4j – Apache Log4j 2

<!-- Licensed to the Apache Software Foundation (ASF) under one or more contributor license agreements. See the NOTICE file distributed with this work for additional information regarding copyright ownership. The ASF licenses this file to You under the Apa

logging.apache.org

KISA에서 종 정리한 글이다.

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389

KISA 인터넷 보호나라&KrCERT

KISA 인터넷 보호나라&KrCERT

www.boho.or.kr

취약점 : CVE-2021-45105, CVE-2021-45046 and CVE-2021-44228

https://logging.apache.org/log4j/2.x/

Log4j – Apache Log4j 2

<!-- Licensed to the Apache Software Foundation (ASF) under one or more contributor license agreements. See the NOTICE file distributed with this work for additional information regarding copyright ownership. The ASF licenses this file to You under the Apa

logging.apache.org
반응형

저작자표시

'취약점대응' 카테고리의 다른 글

Log4j 버전을 확인하자 (Log4j 버전 확인) (2) 2021.12.15
관련글 관련글 더보기
- Log4j 버전을 확인하자 (Log4j 버전 확인)

인기포스트

ABOUT ME

서버 개발자의 '로재'씨의 개발 블로그입니다.

LINK

취미로 음악을 하는 공대생 한번 사는 인생.. 달러 이야기 조스먹방

ADMIN

티스토리툴바