Log4j 보안 취약점, 엑셈은 걱정마세요!

 

 

안녕하세요, 엑셈입니다.

Log4j 보안 이슈로 걱정이 많으실텐데요, 엑셈이 공식 답변을 드립니다. 

 

 

Log4j 보안 취약점 사태, 무슨 일인가요?

2021년 12월 10일 NIST NVD (National Vulnerability Database)에 CVE-2021-44228 취약점(NIST 영어 공지, KRCERT 한국어 공지)이 공개되었습니다. 이는 Log4j 2.0-beta9 버전 이상, 2.14.1 이하의 버전에 존재하는 JNDI 기능을 이용하여 원격으로 코드를 실행할 수 있는 심각한 취약점입니다.

• Log4j2는 JNDI 표현식을 통해 LDAP 서버에서 조회한 값을 로깅할 수 있는 기능이 있음
• 원격 LDAP 서버 조회 시naming.Reference 상속하는 객체가 반환되면 자바 URLClassLoader가 이 객체의 classFactory와 classFactoryLocation 속성을 조회하여 팩토리 바이트코드를 로드하여 실행하게 됨
• 공격자는 통신 로그에 기록되는 데이터에 JNDI 표현식을 삽입하여 공격자가 제어하는LDAP 서버로 접속하도록 유도할 수 있음

 

 

걱정마세요, 엑셈은 이번 Log4j 취약점과 무관합니다.

MaxGauge

MaxGauge 제품군은 log4j가 아닌 logback을 사용하고 있으며 logback은 문제가 되고 있는 버전과 연관이 없는 것으로 확인되었습니다.

• logback을 사용하고 있는 MaxGauge 제품군
  : MaxGauge for Oracle(web)
  : MaxGauge for Altibase(web)
  : MaxGauge for Tibero(web)
  : MaxGauge for DB2(web)
  : MaxGauge for SQL Server(web)
  : MaxGauge for MySQL(web)
  : MaxGauge for PostgreSQL(web)

InterMax

과거 InterMax에서 배포한 Log4j 버전은 Log4j 1.2.17 이기 때문에, 기본적으로 이번 CVE-2021-44228 취약점에 영향을 받지 않습니다.

이번에 문제가 발생한 log4j 2.x에서 발생한 이슈는 JNDI Lookup 기능 떄문에 공격자가 특정 문자를 넣어 LDAP JNDI 관련정보를 취득할 수 있는 문제로 log4j 1.x의 경우 해당 내용이 없는 것을 확인했습니다.

참고로 현재 Intermax의 경우 log4j가 아닌 logback을 사용하고 있으며 보안 이슈 없음이 확인되었습니다.

 

logback 보안 issue 공식 답변 참조

 

 

더 궁금하신 내용이 있으시면 언제든 연락 부탁 드리며, 

엑셈은 여러분께서 엑셈의 모니터링 서비스를 안심하고 사용하실 수 있도록 최선을 다하고 있습니다.

앞으로도 안전한 모니터링 서비스를 만들어 가는데 총력을 기울이겠습니다.