ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • Log4j 보안 취약점, 엑셈은 걱정마세요!
    엑셈 뉴스룸 2021. 12. 15. 09:54

     

     

    안녕하세요, 엑셈입니다.

    Log4j 보안 이슈로 걱정이 많으실텐데요, 엑셈이 공식 답변을 드립니다. 

     

     

    Log4j 보안 취약점 사태, 무슨 일인가요?

    2021년 12월 10일 NIST NVD (National Vulnerability Database)에 CVE-2021-44228 취약점(NIST 영어 공지, KRCERT 한국어 공지)이 공개되었습니다. 이는 Log4j 2.0-beta9 버전 이상, 2.14.1 이하의 버전에 존재하는 JNDI 기능을 이용하여 원격으로 코드를 실행할 수 있는 심각한 취약점입니다.

    • Log4j2는 JNDI 표현식을 통해 LDAP 서버에서 조회한 값을 로깅할 수 있는 기능이 있음
    • 원격 LDAP 서버 조회 시naming.Reference 상속하는 객체가 반환되면 자바 URLClassLoader가 이 객체의 classFactory와 classFactoryLocation 속성을 조회하여 팩토리 바이트코드를 로드하여 실행하게 됨
    • 공격자는 통신 로그에 기록되는 데이터에 JNDI 표현식을 삽입하여 공격자가 제어하는LDAP 서버로 접속하도록 유도할 수 있음

     

     

    걱정마세요, 엑셈은 이번 Log4j 취약점과 무관합니다.

    MaxGauge

    MaxGauge 제품군은 log4j가 아닌 logback을 사용하고 있으며 logback은 문제가 되고 있는 버전과 연관이 없는 것으로 확인되었습니다.

    • logback을 사용하고 있는 MaxGauge 제품군
      : MaxGauge for Oracle(web)
      : MaxGauge for Altibase(web)
      : MaxGauge for Tibero(web)
      : MaxGauge for DB2(web)
      : MaxGauge for SQL Server(web)
      : MaxGauge for MySQL(web)
      : MaxGauge for PostgreSQL(web)

    InterMax

    과거 InterMax에서 배포한 Log4j 버전은 Log4j 1.2.17 이기 때문에, 기본적으로 이번 CVE-2021-44228 취약점에 영향을 받지 않습니다.

    이번에 문제가 발생한 log4j 2.x에서 발생한 이슈는 JNDI Lookup 기능 떄문에 공격자가 특정 문자를 넣어 LDAP JNDI 관련정보를 취득할 수 있는 문제로 log4j 1.x의 경우 해당 내용이 없는 것을 확인했습니다.

    참고로 현재 Intermax의 경우 log4j가 아닌 logback을 사용하고 있으며 보안 이슈 없음이 확인되었습니다.

     

    logback 보안 issue 공식 답변 참조

     

     

    더 궁금하신 내용이 있으시면 언제든 연락 부탁 드리며, 

    엑셈은 여러분께서 엑셈의 모니터링 서비스를 안심하고 사용하실 수 있도록 최선을 다하고 있습니다.

    앞으로도 안전한 모니터링 서비스를 만들어 가는데 총력을 기울이겠습니다.

    TAG

    댓글 0

© Copyright 2001 ~ 2022 EXEM CO., LTD. All Rights Reserved