๋ ๋ค๋ฅธ ์ทจ์ฝ์ (CVE-4-2.17.1)์ ์์ ํ๋ Log2.3.2j ๋ผ์ด๋ธ๋ฌ๋ฆฌ 1, 2.12.4-rc1 ๋ฐ 2021-rc44832์ ์์ ๋ฆด๋ฆฌ์ค๊ฐ ๊ฒ์๋์์ต๋๋ค. ์ด ๋ฌธ์ ๋ ์๊ฒฉ ์ฝ๋ ์คํ(RCE)์ ํ์ฉํ์ง๋ง ๋ฌธ์ ๊ฐ ์๋ ๊ฒ์ผ๋ก ํ์๋์์ผ๋ฉฐ(CVSS ์ ์ 6.6) ์ ์ฉ์ ์ํด์๋ ํน์ ์กฐ๊ฑด์ด ํ์ํ๊ธฐ ๋๋ฌธ์ ์ฃผ๋ก ์ด๋ก ์ ์ธ ๊ด์ฌ๋ง ์์ ๋ฟ์ ๋๋ค. ๊ณต๊ฒฉ์๋ ์ฝ๋๋ฅผ ๋ณ๊ฒฝํ ์ ์์ด์ผ ํฉ๋๋ค. ์ค์ ํ์ผ Log4j, ์ฆ ๊ณต๊ฒฉ๋ฐ์ ์์คํ ์ ๋ํ ์ก์ธ์ค ๊ถํ๊ณผ log4j2.configurationFile ๊ตฌ์ฑ ๋งค๊ฐ๋ณ์์ ๊ฐ์ ๋ณ๊ฒฝํ๊ฑฐ๋ ๋ก๊น ์ค์ ์ ์ฌ์ฉํ์ฌ ๊ธฐ์กด ํ์ผ์ ๋ณ๊ฒฝํ ์ ์๋ ๊ถํ์ด ์์ด์ผ ํฉ๋๋ค.
๊ณต๊ฒฉ์ ์์ฒญ ์ ์คํ์ ์ํด Java ํด๋์ค๊ฐ ๋ฐํ๋ ์ ์๋ ์ธ๋ถ JNDI URI๋ฅผ ์ฐธ์กฐํ๋ JDBC Appender ๊ธฐ๋ฐ ๊ตฌ์ฑ์ ๋ก์ปฌ ์์คํ
์ ์ ์ํ๋ ๊ฒ์ผ๋ก ์์ฝ๋ฉ๋๋ค. ๊ธฐ๋ณธ์ ์ผ๋ก JDBC Appender๋ ๋นJava ํ๋กํ ์ฝ์ ์ฒ๋ฆฌํ๋๋ก ๊ตฌ์ฑ๋์ง ์์ต๋๋ค. ๊ตฌ์ฑ์ ๋ณ๊ฒฝํ์ง ์์ผ๋ฉด ๊ณต๊ฒฉ์ด ๋ถ๊ฐ๋ฅํฉ๋๋ค. ๋ํ ์ด ๋ฌธ์ ๋ log4j-core JAR์๋ง ์ํฅ์ ๋ฏธ์น๋ฉฐ log4j-core ์์ด log4j-api JAR์ ์ฌ์ฉํ๋ ์ ํ๋ฆฌ์ผ์ด์
์๋ ์ํฅ์ ์ฃผ์ง ์์ต๋๋ค. ...
์ถ์ฒ : opennet.ru