[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¾ÆÆÄÄ¡ ¼ÒÇÁÆ®¿þ¾î Àç´Ü(Apache Software Foundation)ÀÌ ¶Ç ´Ù½Ã ·Î±×4j(Log4j)¿¡ ´ëÇÑ »õ·Î¿î Ãë¾àÁ¡ ÆÐÄ¡¸¦ ¹ßÇ¥Çß´Ù. ÀÌÀü ÆÐÄ¡°¡ Àû¿ëµÈ ¹öÀü¿¡¼ ÀÓÀÇ ÄÚµå ½ÇÇà Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ±â ¶§¹®ÀÌ´Ù. ÀÌ·Î½á ·Î±×4j¿¡¼´Â ¿ä ¸î ÁÖ µ¿¾È¿¡¸¸ 5°³ÀÇ Ãë¾àÁ¡ÀÌ ¹ß°ßµÇ°í ÇØ°áµÆ´Ù.
[À̹ÌÁö = utoimage]
ÃÖ±Ù¿¡ ¹ß°ßµÈ Ãë¾àÁ¡Àº CVE-2021-44832´Ù. CVSS ±âºÐÀ¸·Î 6.6Á¡À» ¹Þ¾Æ, ½É°¢µµ°¡ ¸Å¿ì ³ôÀº ¼öÁØÀº ¾Æ´Ï´Ù. ·Î±×4j 2.0-¾ËÆÄ7ºÎÅÍ 2.17.0 ¹öÀü ¸ðµÎ¿¡¼ ¹ß°ßµÇ°í Àִµ¥, 2.3.2¿Í 2.12.4 ¹öÀü¸¸Àº ¿¹¿Ü´Ù. ·Î±×4j 1.x ¹öÀüµé ¿ª½Ã ÀÌ Ãë¾àÁ¡ÀÇ ¿µÇâÀ» ¹ÞÁö ¾Ê´Â´Ù. ÀÚ¹Ù 6À» »ç¿ëÇÏ´Â °æ¿ì ·Î±×4j 2.3.2·Î, ÀÚ¹Ù 7À» »ç¿ëÇÏ´Â °æ¿ì 2.12.4·Î, ÀÚ¹Ù 8 ÀÌ»óÀ» »ç¿ëÇÏ´Â °æ¿ì 2.17.1·ÎÀÇ ¾÷±×·¹À̵尡 ±ÇÀåµÈ´Ù.
À̹ø¿¡ Ãë¾àÁ¡À» ¹ß°ßÇÑ °Ç üũ¸·½º(Checkmarx)¶ó´Â ¾÷üÀÇ º¸¾È ¿¬±¸¿øÀÎ ¾ß´Ïºê ´ÏÁ(Yaniv Nizry)¶ó°í ÇÑ´Ù. ¾ÆÆÄÄ¡ Ãø¿¡ Ãë¾àÁ¡ Á¤º¸¸¦ Á¦°øÇÑ °Ç 12¿ù 27ÀÏÀÇ ÀÏÀÌ´Ù. ´ÏÁ´Â ÀÚ»ç ºí·Î±×¸¦ ÅëÇØ ¡°CVE-2021-44832´Â ·Î±×4j¿¡¼ Á¦ÀÏ Ã³À½ ¹ß°ßµÈ ¿À¸®Áö³Î Ãë¾àÁ¡ÀÎ CVE-2021-44228º¸´Ù ÀͽºÇ÷ÎÀÕ °úÁ¤ÀÌ º¹ÀâÇÏ´Ù¡±°í ¼³¸íÇÑ´Ù. ¡°°ø°ÝÀÚ°¡ ȯ°æ ¼³Á¤¿¡ ´ëÇÑ ÅëÁ¦ ±ÇÇÑÀ» °¡Áö°í ÀÖ¾î¾ß Çϱ⠶§¹®¡±ÀÌ´Ù.
¡°·Î±×4j¿¡´Â ¿ø°Ý¿¡ Àִ ȯ°æ ¼³Á¤ ÆÄÀÏÀ» ·ÎµùÇÏ´Â ±â´ÉÀÌ ÀÖ½À´Ï´Ù. ¾Æ´Ï¸é Äڵ带 °¡Áö°í ·Î°Å¸¦ ¼³Á¤ÇÒ ¼ö Àֱ⵵ ÇÏÁÒ. Áï Áß°£ÀÚ °ø°ÝÀ» ½Ç½ÃÇÔÀ¸·Î½á ÀÓÀÇ ÄÚµå ½ÇÇà °ø°ÝÀ¸·Î±îÁö °¡Á®°¥ ¼ö ÀÖ°Ô µÈ´Ù´Â °Ì´Ï´Ù. Áß°£ÀÚ °ø°ÝÀ» ÇÏ¸é »ç¿ëÀÚ°¡ ÀÔ·ÂÇÏ´Â °ªÀ» Ãë¾àÇÑ È¯°æ ¼³Á¤ º¯¼ö·Î ¸¸µé°Å³ª, ¿ø°Ý¿¡¼ ȯ°æ ¼³Á¤ ÆÄÀÏÀ» Á¶ÀÛÇÒ ¼ö ÀÖ°Ô µÇ´Ï±î¿ä.¡± ´ÏÁÀÇ ¼³¸íÀÌ´Ù.
À̹ø ÆÐÄ¡¸¦ ÅëÇØ ¾ÆÆÄÄ¡ Àç´ÜÀº À̹ø ´Þ¿¡¸¸ 4°³ÀÇ ÆÐÄ¡¸¦ ¹ßÇ¥ÇÏ°Ô µÇ¾ú´Ù. ¿©±â¿¡ ·Î±×4j 1.2¿¡¼µµ Ãë¾àÁ¡ÀÌ ¹ß°ßµÆÀ¸¹Ç·Î ÃÑ 5°³ÀÇ Ãë¾àÁ¡ÀÌ µîÀåÇÑ °ÍÀ̶ó°í Áý°èÇÒ ¼ö ÀÖ´Ù. Âü°í·Î ·Î±×4j 1.2¿¡¼ ¹ß°ßµÈ Ãë¾àÁ¡Àº ÆÐÄ¡°¡ ¹ßÇ¥µÇÁö ¾ÊÀ» °ÍÀ̶ó°í ÇÑ´Ù. ±× µ¿¾È ¹ß°ßµÈ ·Î±×4jÀÇ Ãë¾àÁ¡µéÀ» ¿ä¾àÇÏ¸é ´ÙÀ½°ú °°´Ù.
1) CVE-2021-44228 : ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡ / 2.0-beta9¿¡¼ 2.14.1 ¹öÀü / 2.15.0 ¹öÀüÀ¸·Î ÇØ°á / CVSS ±âÁØ 10Á¡
2) CVE-2021-45046 : Á¤º¸ ³ëÃâ ¹× ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡ / 2.0-beta9¿¡¼ 2.15.0 ¹öÀü(2.12.2 Á¦¿Ü) / 2.16.0 ¹öÀüÀ¸·Î ÇØ°á / CVSS ±âÁØ 9.0Á¡
3) CVE-2021-45105 : µðµµ½º °ø°Ý Ãë¾àÁ¡ / 2.0-beta9¿¡¼ 2.16.0 ¹öÀü / 2.17.0 ¹öÀüÀ¸·Î ÇØ°á / CVSS ±âÁØ 7.5Á¡
4) CVE-2021-44832 : ÀÓÀÇ ÄÚµå ½ÇÇà Ãë¾àÁ¡ / 2.0-alpha7¿¡¼ 2.17.0 ¹öÀü / 2.17.1 ¹öÀüÀ¸·Î ÇØ°á / CVSS ±âÁØ 6.6Á¡
5) CVE-2021-4104 : ºñ½Å·Ú ºñÁ÷·ÄÈ(untrusted deserialization) Ãë¾àÁ¡ / 1.2 ¹öÀü / ÇȽº ³ª¿ÀÁö ¾ÊÀ» ¿¹Á¤ / CVSS ±âÁØ 8.1Á¡
·Î±×4j Ãë¾àÁ¡Àº ÇöÀç º¸¾È ¾÷°èÀÇ °¡Àå Å« ¹®Á¦·Î¼ ´Ù·ïÁö°í ÀÖ´Ù. È£ÁÖ, ij³ª´Ù, ´ºÁú·£µå, ¿µ±¹, ¹Ì±¹ÀÇ Á¤º¸ ±â°üµéÀº ÇÕµ¿À¸·Î ÀÌ Ãë¾àÁ¡µé¿¡ ´ëÇÑ º¸¾È ±Ç°í¹®À» ¹ßÇ¥Çϱ⵵ Çß´Ù. ´Ù·®ÀÇ »çÀ̹ö °ø°Ý ´ÜüµéÀÌ ·Î±×4jÀÇ Ãë¾àÁ¡À» ã¾Æ ÀͽºÇ÷ÎÀÕÀ» ½ÃµµÇÏ°í ÀÖÀ¸´Ï Á¶¼ÓÈ÷ ÆÐÄ¡Ç϶ó´Â ³»¿ëÀ̾ú´Ù.
3ÁÙ ¿ä¾à
1. ·Î±×4j¿¡¼ 27ÀÏÀÚ·Î ¶Ç »õ·Î¿î Ãë¾àÁ¡ ³ª¿È.
2. Çö ½ÃÁ¡ ±âÁØ °¡Àå ¾ÈÀüÇÑ ¹öÀüÀº ·Î±×4j 2.17.1.
3. ÀÌ°Ô Á¤¸» ³¡Àϱî?
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>