PGR21.com
PGR21.com

24시간 동안 보지 않기
자유 게시판
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
전체 일반 정치
Date 2021/12/11 22:35:31
Name 리노
Link #1 https://news.v.daum.net/v/20211211181030002
Subject [일반] Apache log4j에서 제로데이 취약점이 발견되었습니다. (수정됨)
https://ppt21.com/freedom/94335 삭게로!
어제 오늘 해당 문제 때문에 갑자기 주말 근무를 하시는 분들이 많을것 같습니다.

해당 문제는 간단히 말해서, 대상 서버의 모든 권한을 획득하여 뭐든 할 수 있습니다.
좀 더 정확히 말하자면 JNDI(Java Naming and Directory Interface) 인젝션 취약점으로 이를 이용해 공격자가 직접 요청을 보낸 후 원격 코드를 실행하도록 유도할 수 있습니다.

처음에는 마인크래프트에서 발견되었다고 하고, 마이크로소프트는 즉시 업데이트를 배포 했다고 합니다.

어제 BHC 사이트가 털린 것도 해당 취약점 때문이 아닌가 의심을 하고 있고요. ( 유게 https://ppt21.com/humor/442480 )
slf4j는 괜찮다고 합니다만 그냥 log4j를 쓰시는 분들은 업데이트를 당장 하는게 권고 되고 있습니다.
제로데이 취약점 공개 후 발빠르게 패치가 공개되었기 때문에 큰 기업들은 패치가 적용되고 있습니다만 아닌 곳도 있기 때문에, 혹시 아직까지 체크 못하신 분들이 있다면 빠른 패치가 필요합니다.

보안등급: 10단계
영향 받는 log4j 버전: 2.0 ~ 2.4.1
문제 해결: log4j2.formatMsgNoLookups = true 또는 버전 2.15.0 이상 설치.



관련 문서
"컴퓨터 사상 최악의 취약점 발견됐다".. 전세계 보안업계 '발칵'
- https://news.v.daum.net/v/20211211181030002

KISA: Apache Log4j 2 보안 업데이트 권고
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389

Log4Shell: RCE 0-day exploit found in log4j2, a popular Java logging package
- https://www.lunasec.io/docs/blog/log4j-zero-day/

Oracle Security Alert Advisory - CVE-2021-44228
- https://www.oracle.com/security-alerts/alert-cve-2021-44228.html

Apache Releases Log4j Version 2.15.0 to Address Critical RCE Vulnerability Under Exploitation
- https://www.cisa.gov/uscert/ncas/current-activity/2021/12/10/apache-releases-log4j-version-2150-address-critical-rce

취약점에 영향 받는 서비스들

통합규정 1.3 이용안내 인용

"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.
법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
닉네임을바꾸다
해시 아이콘
21/12/11 22:38
수정 아이콘
뭐 어떤 의미로는 너무 근본적인 영역이라 하려해도 할게 없을거라는...크크
자바를 쓰면서 저걸 안쓰는 사람이 없으니까...
게임때문에 하는 밴드에서 프로그래머인 사람이...그리 말하더군요 크크
이오니
해시 아이콘
21/12/11 22:39
수정 아이콘
log4j...면 뭐...(...)
DownTeamisDown
해시 아이콘
21/12/11 22:41
수정 아이콘
이건 안쓰는데가 없는데말이죠...
이웃집개발자
해시 아이콘
21/12/11 22:42
수정 아이콘
와 이거 뭐야 뭔데뭔데;;;
좋은데이
해시 아이콘
21/12/11 22:46
수정 아이콘
어이구 log4j네 아....
멜로
해시 아이콘
21/12/11 22:47
수정 아이콘
이미 뚫릴곳은 다 뚫렸을듯요
살려는드림
해시 아이콘
21/12/11 23:01
수정 아이콘
logback이나 slf4j도 사실상 베이스가 log4j라서 걱정했는데 조금 덜어도 괜찮겠네요 ...
씨드레곤
해시 아이콘
21/12/11 23:01
수정 아이콘
한국에서 java로 개발하는 회사가 많은데 파장이 어마어마하겠습니다.
Java에서 원격 바이트 코드 로드하고 실행할 수 있는 위험한 기능을 왜 허용었는지...
라자냐
해시 아이콘
21/12/11 23:27
수정 아이콘
(수정됨) .
씨드레곤
해시 아이콘
21/12/11 23:30
수정 아이콘
slf4j는 추상의 로깅 프레임워크기 때문에 보통 log4j2나 logback중 하나 선택하여 같이 사용합니다.
라자냐
해시 아이콘
21/12/11 23:37
수정 아이콘
(수정됨) .
씨드레곤
해시 아이콘
21/12/11 23:38
수정 아이콘
앗, 감사합니다.
저가 제대로 본문을 다 읽지 않았네요.
씨드레곤
해시 아이콘
21/12/11 23:49
수정 아이콘
(수정됨) hackernews 사이트에 가보니까 slf4j + log4j2 조합에서도 이 이슈가 재현이 된다고 합니다.
https://news.ycombinator.com/item?id=29504755#29516563
라자냐
해시 아이콘
21/12/11 23:53
수정 아이콘
(수정됨) .
코스모스 아톰
해시 아이콘
21/12/12 00:07
수정 아이콘
전자정부 프레임워크는 log4j 가 2012년 1.2버전이라서 안전하다는게 유머네요 크크크크크크크크킄
지켜보고 있다
해시 아이콘
21/12/12 00:39
수정 아이콘
역시 아이티 강국답네요.
라자냐
해시 아이콘
21/12/12 00:43
수정 아이콘
(수정됨) .
초현실
해시 아이콘
21/12/12 02:50
수정 아이콘
[펄-럭]
winfo
해시 아이콘
21/12/12 09:20
수정 아이콘
몇수앞을 내다보는 K-IT
도롱롱롱롱롱이
해시 아이콘
21/12/12 18:06
수정 아이콘
아니라고 합니다. 전자정부 프레임워크는 지속적으로 업그레이드를 해왔다고 하네요.
과연 누구 말이 맞을지.
도롱롱롱롱롱이
해시 아이콘
21/12/12 18:22
수정 아이콘
https://www.egovframe.go.kr/home/sub.do?menuNo=13
맞네요. 그냥 프레임워크 사용자들이 예전 버전 쓰면서 업그레이드 안하고 남탓이었음..
Unikys
해시 아이콘
21/12/12 00:33
수정 아이콘
와 우리 회사 인프라 코드에 logback 하드 디펜던시가 있어서 불평했는데 이게 이렇게 돕네요 크크
DevBear
해시 아이콘
21/12/12 02:09
수정 아이콘
일단 알려진 공격법(jndi+ldap)은 최근 JVM (8u191, 11.0.2 and later)에서는 default로 disable되어있긴합니다
씨드레곤
해시 아이콘
21/12/12 11:33
수정 아이콘
(수정됨) 저도 그렇게 믿고 싶은데 최신 JVM에서도 상황에 따라 문제되는 경우가 있다고 합니다.
예를 들어 tomcat을 사용하거나 groovy library를 사용하든가...
https://www.veracode.com/blog/research/exploiting-jndi-injections-java
supernova
해시 아이콘
21/12/12 04:10
수정 아이콘
Flogger 써서 다행이네요 크크
Jane
해시 아이콘
21/12/12 09:39
수정 아이콘
패이로드 보니까 엄청 단순하던데 써먹고있던 해커 엄청많을거같네요
목록 삭게로! 맨위로
번호 제목 이름 날짜 조회 추천
공지 [정치] [공지] 정치카테고리 운영 규칙을 변경합니다. [허들 적용 완료] [127] 오호 20/12/30 317594 0
공지 [일반] 자유게시판 글 작성시의 표현 사용에 대해 다시 공지드립니다. [16] empty 19/02/25 371497 10
공지 [일반] 통합 규정(2019.11.8. 개정) [2] jjohny=쿠마 19/11/08 378389 4
105372 [일반] 컴퓨터 책상 구매 후기(209애비뉴 제로데스크에보) [2] 보리밥665 25/11/07 665 0
105371 [정치] 한동훈 "이재명 정권, 재판 재개되면 계엄령 선포할 수도" [107] 마라떡보끼6407 25/11/07 6407 0
105370 [정치] 한국갤럽 경주 APEC 정상회의 우리 국익에 도움됐다 74%, 도움되지 않았다 13% [89] 전기쥐6260 25/11/07 6260 0
105369 [정치] 어제 정청래 대표가 민주노총을 방문해서 '정년연장'에 대한 언급을 했군요. [93] petrus5895 25/11/07 5895 0
105368 [일반] 이번에는 무슨 이유로 곡괭이를 들까? [9] 닉언급금지3256 25/11/07 3256 2
105367 [일반] 트럼프 관세의 향방은? (대법원 구두변론) [28] FIJI4224 25/11/07 4224 2
105366 [일반] 건알못이 본 '섬광의 하사웨이' 리뷰(스포 주의) [22] mayuri1882 25/11/07 1882 0
105365 [정치] 보수진영은 문재인을 이명박 보다 높게 평가하나요? [91] 유동닉으로5766 25/11/06 5766 0
105364 [일반] 폴란드 여행기 5일차 - 포즈난, 브로츠와프 (data & scroll 주의) [1] 강력세제 희드라1646 25/11/06 1646 1
105363 [일반] 너희들이 한국 만화를 아느냐 [70] seotaiji4426 25/11/06 4426 2
105362 [일반] 국장 역사상 최고의 리즈시절 임펙트를 보여준 그 주식의 경이로운 기세 [13] 이게무슨소리4691 25/11/06 4691 0
105361 [정치] 문제는 "새벽배송"이 아니라 "쿠팡"이라고! [142] 후추통9996 25/11/06 9996 0
105360 [정치] 경찰, '유승민 딸' 유담 교수 임용 특혜 의혹…인천대 수사 착수 [318] 마라떡보끼12473 25/11/06 12473 0
105359 [일반] 개인병원에는 돌팔이나 환자 등처먹는 의사들 많은 느낌 [105] 흠음7429 25/11/06 7429 27
105358 [일반] 신장결석 재발 치료 후기 [28] 퀘이샤2904 25/11/06 2904 4
105357 [일반] 짧은 이직 기간들에 대한 소회 [32] Kaestro4789 25/11/06 4789 7
105356 [일반] "하반신만 남은 시체 37구" 허위 정보 96만 유튜버 수사 [53] 신정상화8951 25/11/06 8951 8
105355 [정치] 10.15 대책 개혁신당에서 집단소송 진행할건가 보네요 [48] Chandler7460 25/11/05 7460 0
105354 [일반] 러닝 기담 [18] 마스터충달3246 25/11/05 3246 7
105353 [정치] 왜 민주노총은 새벽배송 금지를 언급할까? [202] petrus22876 25/11/04 22876 0
목록 이전 다음
댓글

+ : 최근 1시간내에 달린 댓글
+ : 최근 2시간내에 달린 댓글
맨 위로