안녕하세요. KOREAIDC입니다. 

 

귀 사(기관)의 발전을 기원합니다.


<근거 법령>

  - 정보통신망이용촉진및정보보호등에관한법률제47조의4(이용자의정보보호)

  - 정보통신망이용촉진및정보보호등에관한법률제48조의2(침해사고의대응등)

  - 정보통신망이용촉진및정보보호등에관한법률제49조의2(속이는행위에의한개인정보의수집금지등)

  - 정보통신망이용촉진및정보보호등에관한법률시행령제56조(침해사고대응조치-접속경로차단요청)

 

최근 Apache 소프트웨어 Log4j 2에서 발생하는 취약점을 악용한 공격이 발생하고 있어 보안 권고 사항을 아래와 같이 전달해드리오니 참고하시어 피해가 발생하지 않도록 만전을 기해주시기를 당부드립니다.

기존 업데이트 안내드린 Log4j 2.16.0 이하버전에서 서비스 거부 취약점(CVE-2021-45105)이 확인되어 아래와 같이 해결방안 및 보안 권고 사항 재안내드립니다.  

 

□ 개요


 o Apache ! 소프트웨어 재단은 자사의 Log4j 2에서 발생하는 취약점을 해결한 보안 업데이트 권고[1]

o 공격자는 해당 취약점을 이용하여 정상 서비스 중지 등의 피해를 발생시킬수 있으므로, 최신 버전으로 업데이트 권고

    ※ Log4j 취약점을 이용한 침해사고 발생시 한국인터넷진흥원에 신고해 주시기 바랍니다.


□ 주요 내용


 o Apache Log4j 2에서 발생하는 서비스 거부 취약점(CVE-2021-45105)[2]

    ※ Log4j : 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티


□ 영향 받는 버전


 o CVE-2021-45105

   - 2.0-beta9 ~ 2.16.0 버전 (Log4j 2.12.3 제외)

     ※ log4j 2.12.3버전의 경우 Apache 보안업데이트가 완료될 경우 다운로드 페이지 안내 예정


□ 대응방안


 o 제조사 홈페이지를 통해 최신버전으로 업데이트 적용[3]

   ※ 제조사 홈페이지에 신규버전이 계속 업데이트되고 있! 어 확인 후 업데이트 적용 필요

  - Java 8 : Log4j 2.17.0으로 업데이트[1]

     ※ Java 7 버전의 경우 Apache 보안업데이트가 완료될 경우 게시 예정

     ※ log4j-core-*.jar 파일 없이 log4j-api-*.jar 파일만 사용하는 경우 위 취약점의 영향을 받지 않음

 

o 신규 업데이트가 불가능할 경우 아래의 조치방안으로 조치 적용

  - PatternLayout에서 ${ctsx:loginId} 또는 $${ctx:loginId}를 (%X, %mdc, or %MDC)로 변경

  - ${ctx:loginId} 또는 $${ctx:loginId}를 제거


□ 침해사고 신고


 o 한국인터넷진흥원 침해대응센터 종합상황실 : 02-405-4911~5, certgen@krcert.or.kr

     ※ 이상 징후 포착 및 침해사고 발생 시, 한국인터넷진흥원 종합상황실 또는 KISA 인터넷 보호나라 홈페이지로 즉시 신고

     ※ 'KISA 인터넷 보호나라' 홈페이지(www.krcert.or.k! r 또는 www.boho.or.kr) - 상담 ! 신고 - 해킹사고


 [참고사이트]

  [1] apache 보안업데이트 현황 : https://logging.apache.org/log4j/2.x/security.html

  [2] 취약점 정보 : https://nvd.nist.gov/vuln/detail/CVE-2021-45105

  [3] 신규버전 다운로드 : https://logging.apache.org/log4j/2.x/download.html