보안뉴스)Log4j 신규 취약점 ‘CVE-2021-45105’과 패치 ‘Log4j 2.17.0’

출처https://www.boannews.com/media/view.asp?idx=103443 

또 또 다른 Log4j 취약점 CVE-2021-45105 입니다..ㅎㅎ

https://logging.apache.org/log4j/2.x/

image.png.jpg

중요: 보안 취약점 CVE-2021-45046

Log4j 팀은 Java 7용 Log4j 2.12.2 및 Java 8 이상용 2.16.0에서 해결된 보안 취약점 CVE-2021-45046을 인지했습니다.

요약: Apache Log4j2 스레드 컨텍스트 조회 패턴은 기본이 아닌 특정 구성에서 원격 코드 실행에 취약합니다.

세부

Apache Log4j 2.15.0에서 CVE-2021-44228을 해결하기 위한 수정 사항이 기본이 아닌 특정 구성에서 불완전한 것으로 나타났습니다. 로깅 구성이 컨텍스트 조회와 함께 기본이 아닌 패턴 레이아웃(예: $${ctx:loginId})을 사용하는 경우 MDC(Thread Context Map) 입력 데이터를 제어하는 ​​공격자는 JNDI 조회 패턴을 사용하여 악의적인 입력 데이터를 만들 수 있습니다. , 일부 환경에서는 정보 누출 및 원격 코드 실행이 발생하고 모든 환경에서는 로컬 코드 실행이 발생합니다. 원격 코드 실행은 macOS에서 시연되었지만 다른 테스트된 환경은 없습니다.

시스템 속성 log4j2.formatMsgNoLookups를 true로 설정하는 것과 같은 구성과 관련된 이전 완화는 이 특정 취약점을 완화하지 않습니다.

완화

버전 2.12.2(Java 7용)에서 Log4j는 기본적으로 JNDI에 대한 액세스를 비활성화합니다. 이제 구성에서 JNDI 사용을 명시적으로 활성화해야 합니다. JndiLookup에 대한 호출은 이제 상수 문자열을 반환합니다. 또한 Log4j는 이제 기본적으로 프로토콜을 Java로만 제한합니다. 메시지 조회 기능이 완전히 제거되었습니다. 구성 조회는 여전히 작동합니다.

버전 2.16.0(Java 8용)부터 메시지 조회 기능이 완전히 제거되었습니다. 구성 조회는 여전히 작동합니다. 또한 Log4j는 이제 기본적으로 JNDI에 대한 액세스를 비활성화합니다. 사용자는 Log4j 2.16.0에서 JNDI를 활성화하지 않는 것이 좋습니다. JMS Appender가 필요한 경우 Log4j 2.12.2를 사용하십시오.[Reference] : 달소, 「서버포럼 – 보안뉴스)Log4j 신규 취약점 ‘CVE-2021-45105’과 패치 ‘Log4j 2.17.0’」 https://svrforum.com/?document_srl=124362&mid=itnews&act=dispBoardContent.

 

————————————————–

사이트 리뉴얼중입니다~

서버(Linux, ESXi), NAS(헤놀로지, ESXi 및 IT관련 정보, 기타 등등을 공유하는 커뮤니티 SVRFORUM을 새로 만들었습니다.
많은 가입(?) 부탁드립니다~
https://svrforum.com

이전글들은 모두 상단 메뉴의 Blog 글 모음에있습니다!

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

홈서버 IT 커뮤니티 SVRFORUM
Link