반응형 보안1 [보안] Apache Log4j 보안 이슈 및 해결 방안 1. Log4j란? Log4j는 Java 기반 프로그램 작성 시 지정된 파일/포맷으로 로깅할 수 있는 Apache 오픈소스 라이브러리입니다. 이슈가 된 취약점은 CVE-2021-44228(또는 Log4Shell)로 명명되었으며, Log4j가 넘겨받은 변수만을 단순 출력하는 것이 아닌 로그 메시지에 담긴 구문을 실행하여 출력하는 Lookups 기능에서 발생했습니다. 해커들이 개발자보다 먼저 취약점을 발견한 경우에 해당하는 0-데이 취약점으로서 Log4j 라이브러리를 사용한 서비스가 배포된 시점부터의 로그를 분석하여 악의적 공격 여부를 확인해야하는 24/7 비상 패치가 필요합니다. Apache 측은 해당 취약점을 감지하여 2021년 12월 10일 GitHub PR을 통해 2.15.0 버전을 배포하였습니다. .. 2021. 12. 14. 이전 1 다음 반응형