Log4Shell

Log4Shell
로그4셸
CVE 식별자	CVE-2021-44228
발견일	2021년 11월 24일(3년 전)
패치일	2021년 12월 6일(3년 전)
발견자	알리바바 클라우드 보안팀의 천자오쥔
영향을 받는 소프트웨어	Log4j 2를 사용하여 사용자 입력을 기록하는 애플리케이션

Log4Shell 또는 CVE-2021-44228는 저명한 자바 로깅 프레임워크 Log4j의 제로 데이 임의 코드 실행 취약점이다.^[2]^[3] 이 취약점은 알리바바의 클라우드 보안팀에 의해 2021년 11월 24일 아파치에 비공개로 전달되었으며 2021년 12월 9일 대중에게 공개되었다.^[1]^[4]^[5]

이 취약점은 LDAP과 JNDI 요청을 검사하지 않는 Log4j의 특징을 이용하여,^[6]^[2]^[7] 공격자가 임의의 자바 코드를 서버 또는 기타 컴퓨터에서 실행할 수 있게 한다.^[5] 영향을 받는 서비스에는 아마존 AWS,^[8] 클라우드플레어, 아이클라우드, 마인크래프트 자바 에디션,^[9] 스팀, 텐센트 QQ가 포함된다.^[6]^[10] 루나섹(LunaSec)은 이 취약점을 "파멸적 부분의 설계적 실패"^[5]로, Tenable은 "지난 10년 이내의 가장 심각한, 단일로서는 최대의 취약점"으로 특징을 지었다.^[11] Log4j 프로젝트를 맡는 아파치 소프트웨어 재단은 Log4Shell에 CVSS 점수 최고점인 10점을 부여하였다.^[12]

각주

↑ ^가 ^나 “Log4Shell Vulnerability is the Coal in our Stocking for 2021”. 《맥아피》 (영어). 2021년 12월 10일. 2021년 12월 12일에 확인함.
↑ ^가 ^나 “Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package”. 《www.lunasec.io》 (영어). 2021년 12월 9일. 2021년 12월 12일에 확인함.
↑ “CVE - CVE-2021-44228”. 《cve.mitre.org》. 2021년 12월 12일에 확인함.
↑ “Worst Apache Log4j RCE Zero day Dropped on Internet”. 《www.cyberkendra.com》. 2021년 12월 9일. 2021년 12월 12일에 확인함.
↑ ^가 ^나 ^다 Newman, Lily Hay. “‘The Internet Is on Fire’”. 《Wired》 (미국 영어). ISSN 1059-1028. 2021년 12월 12일에 확인함.
↑ ^가 ^나 “Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit”. 《PC Magazine》 (영어). 2021년 12월 12일에 확인함.
↑ Goodin, Dan (2021년 12월 10일). “Zero-day in ubiquitous Log4j tool poses a grave threat to the Internet”. 《Ars Technica》 (미국 영어). 2021년 12월 12일에 확인함.
↑ “Update for Apache Log4j2 Issue (CVE-2021-44228)”. 《aws.amazon.com》. 2021년 12월 12일. 2021년 12월 13일에 확인함.
↑ “Security Vulnerability in Minecraft: Java Edition”. 《모장 스튜디오》. 2021년 12월 13일에 확인함.
↑ Goodin, Dan (2021년 12월 10일). “The Internet's biggest players are all affected by critical Log4Shell 0-day”. 《ArsTechnica》. 2021년 12월 13일에 확인함.
↑ Press, Associated (2021년 12월 11일). “Recently uncovered software flaw ‘most critical vulnerability of the last decade’”. 《가디언》 (영어). 2021년 12월 12일에 확인함.
↑ “Log4j – Apache Log4j Security Vulnerabilities”. 《logging.apache.org》. 2021년 12월 12일에 확인함.

외부 링크

Log4j website

[mcafee-1] 가 ^나 “Log4Shell Vulnerability is the Coal in our Stocking for 2021”. 《맥아피》 (영어). 2021년 12월 10일. 2021년 12월 12일에 확인함.

[lunasec-2] 가 ^나 “Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package”. 《www.lunasec.io》 (영어). 2021년 12월 9일. 2021년 12월 12일에 확인함.

[3] “CVE - CVE-2021-44228”. 《cve.mitre.org》. 2021년 12월 12일에 확인함.

[4] “Worst Apache Log4j RCE Zero day Dropped on Internet”. 《www.cyberkendra.com》. 2021년 12월 9일. 2021년 12월 12일에 확인함.

[wired-5] 가 ^나 ^다 Newman, Lily Hay. “‘The Internet Is on Fire’”. 《Wired》 (미국 영어). ISSN 1059-1028. 2021년 12월 12일에 확인함.

[pcworld-6] 가 ^나 “Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit”. 《PC Magazine》 (영어). 2021년 12월 12일에 확인함.

[technica-7] Goodin, Dan (2021년 12월 10일). “Zero-day in ubiquitous Log4j tool poses a grave threat to the Internet”. 《Ars Technica》 (미국 영어). 2021년 12월 12일에 확인함.

[8] “Update for Apache Log4j2 Issue (CVE-2021-44228)”. 《aws.amazon.com》. 2021년 12월 12일. 2021년 12월 13일에 확인함.

[9] “Security Vulnerability in Minecraft: Java Edition”. 《모장 스튜디오》. 2021년 12월 13일에 확인함.

[10] Goodin, Dan (2021년 12월 10일). “The Internet's biggest players are all affected by critical Log4Shell 0-day”. 《ArsTechnica》. 2021년 12월 13일에 확인함.

[11] Press, Associated (2021년 12월 11일). “Recently uncovered software flaw ‘most critical vulnerability of the last decade’”. 《가디언》 (영어). 2021년 12월 12일에 확인함.

[security-12] “Log4j – Apache Log4j Security Vulnerabilities”. 《logging.apache.org》. 2021년 12월 12일에 확인함.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]