Apache Log4j 2의 보안 이슈 발생으로 인한 공지 드립니다.

이용하고 계시는 서비스의 보안을 위하여 Apache Log4j 2 버전을 확인해 주시고, 

취약한 버전의 경우 아래 인터넷 진흥원 공지사항과 같이 보안 업데이트를 진행 하시기 바랍니다.

이번 취약점은 악성코드 감염으로 인한 원격 코드 실행의 위험성이 있다고 알려져 있습니다. 

인터넷 진흥원 공지사항
--------------------------------------------------------------------------------------------------------------

□ 개요
 o Apache 소프트웨어 재단은 자사의 Log4j 2에서 발생하는 취약점을 해결한 보안 업데이트 권고[1]
 o 공격자는 해당 취약점을 이용하여 악성코드 감염 등의 피해를 발생시킬수 있으므로, 최신 버전으로 업데이트 권고

 □ 주요 내용
 o Apache Log4j 2*에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)[2]
   * 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티

□ 영향을 받는 버전
 o Apache Log4j 2
   - 2.0-beta9 ~ 2.14.1 모든버전
 o Apache Log4j 2를 사용하는 제품
    ※ 참고 사이트 [4]를 확인하여 해당 제품을 이용 중일 경우, 해당 제조사의 권고에 따라 패치 또는 대응 방안 적용
 
□ 해결방안[1]
 o 2.0-beta9 ~ 2.10.0
   - JndiLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
 o 2.10 ~ 2.14.1
   - log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정
 o 제조사 홈페이지를 통해 최신버전(2.15.0)으로 업데이트 적용[3]

□ 기타 문의사항
 o 한국인터넷진흥원 사이버민원센터: 국번없이 118

[참고사이트]
[1] https://logging.apache.org/log4j/2.x/security.html
[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
[3] https://logging.apache.org/log4j/2.x/download.html
[4] https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

□ 작성 : 침해사고분석단 취약점분석팀