본문 바로가기

Home > 정보마당 > 공개SW 보안취약점

공개SW 보안취약점

Apache Log4j2 2.14.1

License 관리자 게시글 작성 시각 2021-12-13 09:00:02 게시글 조회수 5022
컴포넌트 명 : Apache Log4j2
컴포넌트에 대한 취약점 정보
버전 정보 취약점 ID 취약점 최종 보고일 심각도
2.14.1 CVE-2021-44228 2021/12/12 10.0 (Critical)
취약점 ID : CVE-2021-44228
취약점 상세정보
취약점 설명

Apache Log4j2 <=2.14.1 JNDI features used in configuration, log messages, and parameters do not protect against attacker controlled LDAP and other JNDI related endpoints. An attacker who can control log messages or log message parameters can execute arbitrary code loaded from LDAP servers when message lookup substitution is enabled. From log4j 2.15.0, this behavior has been disabled by default. In previous releases (>2.10) this behavior can be mitigated by setting system property "log4j2.formatMsgNoLookups" to “true” or it can be mitigated in prior releases (<2.10) by removing the JndiLookup class from the classpath (example: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class).



2.14.1 이하 버전의 Apache Log4j2는 설정, 로그 메세지 및 파라미터에 사용되는 JNDI 기능을 공격자가 제어하는 LDAP 및 기타 JNDI 관련 엔드포인트로부터 보호하지 않습니다.
로그 메세지 또는 로그 메세지 파라미터를 제어할 수 있는 공격자는 메세지 조회 대체가 활성화된 경우 LDAP 서버에서 로드된 임의의 코드를 실행할 수 있습니다.
2.15.0 버전부터 이 동작은 기본적으로 비활성화 되어 있습니다.
2.10~2.14.1의 버전에서는 시스템 속성 "log4j2.formatMsgNoLookups"를 "true"로 설정하여 이 동작을 완화할 수 있고, 2.0-beta9~2.10.0 버전에서는 클래스 경로에서 JndiLookup 클래스를 제거하여 완화할 수 있습니다(예: zip - q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class).

대응 방안 2.16.0 이상 버전으로 업데이트
기타 -

-

공개SW 보안취약점 - 번호, 컴포넌트 명 및 버전, 취약점ID, 심각도, 취약점 최종보고일, 대응방안
번호 컴포넌트 명 및 버전 취약점ID 심각도 취약점
최종 보고일
대응방안
173 bundler 2.2.8 CVE-2021-43809 7.3 (High) 2021/12/13 대응방안보기
172 Python 3.7.8 CVE-2021-3737 7.1 (High) 2022/04/07 대응방안보기
171 PCRE 7.6 CVE-2015-2328 7.5 (High) 2019/12/27 대응방안보기
170 Apache Thrift 0.10.0 CVE-2019-0205 7.8 (High) 2021/10/05 대응방안보기
169 Expat 2.0.1 CVE-2021-45960 9.0 (Critical) 2022/03/17 대응방안보기
168 Expat 2.0.1 CVE-2022-25236 7.5 (High) 2022/03/01 대응방안보기
167 istio 1.9.4 CVE-2021-31921 7.5 (High) 2021/07/30 대응방안보기
166 GoGo Protobuf 1.3.1 CVE-2021-3121 7.5 (High) 2021/10/18 대응방안보기
165 Apache Log4j2 2.14.1 CVE-2021-44228 10.0 (Critical) 2021/12/12 대응방안보기
164 aws-sdk-js 2.167.0 CVE-2020-28472 7.5 (High) 2021/01/28 대응방안보기
맨 위로
맨 위로