Apache Foundation은 한 달 안에 네 번째 Log4j 업데이트를 출시할 예정이며, 이는 더 많은 잠재적인 보안 취약점을 수정합니다.
이번달 초, 널리 사용되는 Java 기반 로깅 패키지 "Log4j"에서 보안 취약점이 발견되었습니다. 수많은 기업과 기술 제품에 큰 문제가 되었습니다. Minecraft, Steam, Apple iCloud 및 기타 애플리케이션과 서비스는 패치 버전으로 업데이트를 서둘러야 했지만 Log4j의 문제는 아직 완전히 해결되지 않았습니다. 이제 또 다른 잠재적인 보안 문제를 해결하는 것을 목표로 하는 또 다른 업데이트가 출시되고 있습니다.
아파치 소프트웨어 재단이 출시되었습니다. Log4j 버전 2.17.1 월요일에 (~을 통해 블리핑 컴퓨터)는 주로 다음과 같은 보안 결함을 해결합니다. CVE-2021-44832. 공격자가 Log4j 로깅 구성 파일을 제어할 수 있는 경우 이 취약점으로 인해 JDBC Appender를 사용한 원격 코드 실행(RCE)이 잠재적으로 허용될 수 있습니다. 이 문제는 모든 문제가 시작된 취약점보다 낮은 "보통" 심각도 등급을 받았습니다. CVE-2021-44228, 등급은 '심각'입니다. Checkmarx 보안 연구원 Yaniv Nizry 취약점 발견에 대한 공로를 주장함 이를 Apache Software Foundation에 보고합니다.
Apache는 취약점 설명에 다음과 같이 썼습니다. "Apache Log4j2 버전 2.0-beta7부터 2.17.0(보안 수정 릴리스 2.3.2 및 2.12.4 제외)은 공격자가 원격 코드 실행(RCE) 공격에 취약합니다. 로깅 구성 파일을 수정할 수 있는 권한은 원격 실행이 가능한 JNDI URI를 참조하는 데이터 소스와 함께 JDBC Appender를 사용하여 악성 구성을 구성할 수 있습니다. 암호. 이 문제는 JNDI 데이터 소스 이름을 Log4j2 버전 2.17.1, 2.12.4 및 2.3.2의 Java 프로토콜로 제한하여 해결되었습니다.
"Log4Shell"이라고도 알려진 원래 Log4j 익스플로잇을 통해 데이터 로깅에 Log4j를 사용하는 많은 서버나 애플리케이션에서 악성 코드가 실행될 수 있었습니다. Cloudflare CEO Matthew Prince는 이 익스플로잇이 사용되고 있다고 말했습니다.
이 최신 릴리스는 많은 회사가 이미 자체적으로 수정한 원래 공격에 대한 최종 영구 수정판이 될 것으로 예상됩니다. 그러나 우리는 초기 업데이트 이후 나중에 발견된 허점을 해결하기 위한 여러 가지 다른 업데이트도 확인했습니다. 운이 좋다면, 이것이 마침내 Log4Shell 이야기의 끝이 될 것입니다.