보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[긴급] 로그4j 신규 취약점 ‘CVE-2021-45105’과 패치 ‘Log4j 2.17.0’ 나와

입력 : 2021-12-20 05:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
Log4j 2.16.0 버전에서 동작하는 CVE-2021-45105 취약점 추가로 공개

[보안뉴스 원병철 기자] log4j의 신규 취약점과 새로운 패치가 나와 보안담당자들의 시급한 업데이트가 요구된다. 아파치재단은 12월 18일 ‘Log4j 2.16.0’ 버전에서 동작하는 CVE-2021-45105 취약점을 추가로 공개했다. 안랩 ASEC은 이번 취약점의 CVSS 점수(취약점 등급 시스템. 10점 만점에 7.0점을 넘기면 심각한 취약점으로 구분한다)는 7.5점 이라고 밝혔다.

▲Log4j 신규 취약점(CVE-2021-45105) 패치(Log4j 2.17.0)를 공개한 아파치 재단[캡처=보안뉴스]


이번 ‘CVE-2021-45105’에 취약한 제품 버전은 ‘Log4j 2.0-beta9 ~ 2.16.0’ 버전이다. 취약점 공격은 Log4j를 사용하는 응용 프로그램에서 ‘layout pattern’과 ‘쓰레드 컨텍스트 기능’이 사용되는 경우 발생할 수 있다. 취약한 환경과 이 환경을 공격하는 기법은 다음과 같다.

①취약한 환경
응용 프로그램이 layout pattern에서 쓰레드 컨텍스트를 조회하는 기능을 사용하도록 설정된다.

▲log4j2.properties 설정 일부[이미지=ASEC]


소스 코드
layout pattern에서 참조하는 쓰레드 컨텍스트의 값을 외부로부터 입력받은 값으로 저장한다.

▲응용 프로그램 소스코드 일부[이미지=ASEC]


②취약점 공격
공격자가 X-Api-Version 헤더에 특정 문자열을 포함한 요청을 대상 서버에 전송하는 경우, log4j에서는 로그를 저장하는 과정에서 Stack OverFlow 오류가 발생하여 해당 프로세스가 종료될 수 있다.
# curl server -H ‘X-Api-Version: ${${::-${::-$${::-$}}}}’

③취약점 영향
Log4j의 서비스 거부 취약점(Dos : Denial Of Service)으로 인해 서비스 장애가 발생할 수 있지만, 공격 기법에서 설명한 환경이 구축되어야 취약점 공격이 가능하다. 또한, log4j-core-*.jar 파일 없이 log4j-api-*.jar 파일만 사용하는 경우 취약점의 영향을 받지 않는다.

④취약점 패치
2021년 12월 18일 Log4j 2.17.0 패치가 발표됐다.

Log4j 2.17.0 이상 최신 버전 (Java8 이상)
https://logging.apache.org/log4j/2.x/download.html
* Java 7 버전 : 제공 예정

⑤취약점 완화
취약점 패치가 어려운 경우 다음의 방법으로 임시 조치를 진행해야 한다.
– ‘PatternLayout’에서 ${ctx:loginId} 또는 $${ctx:loginId}를 제거하거나 (%X, %mdc, or %MDC)로 변경한다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)