Log4Shell
| CVE 식별자 | CVE-2021-44228 |
|---|---|
| 발견일 | 2021년 11월 24일 |
| 패치일 | 2021년 12월 6일 |
| 발견자 | 알리바바 클라우드 보안팀의 천자오쥔[1] |
| 영향을 받는 소프트웨어 | Log4j 2를 사용하여 사용자 입력을 기록하는 애플리케이션 |
Log4Shell 또는 CVE-2021-44228는 저명한 자바 로깅 프레임워크 Log4j의 제로 데이 임의 코드 실행 취약점이다.[2][3] 이 취약점은 알리바바의 클라우드 보안팀에 의해 2021년 11월 24일 아파치에 비공개로 전달되었으며 2021년 12월 9일 대중에게 공개되었다.[1][4][5]
이 취약점은 LDAP과 JNDI 요청을 검사하지 않는 Log4j의 특징을 이용하여,[6][2][7] 공격자가 임의의 자바 코드를 서버 또는 기타 컴퓨터에서 실행할 수 있게 한다.[5] 영향을 받는 서비스에는 아마존 AWS,[8] 클라우드플레어, 아이클라우드, 마인크래프트 자바 에디션,[9] 스팀, 텐센트 QQ가 포함된다.[6][10] 루나섹(LunaSec)은 이 취약점을 "파멸적 부분의 설계적 실패"[5]로, Tenable은 "지난 10년 이내의 가장 심각한, 단일로서는 최대의 취약점"으로 특징을 지었다.[11] Log4j 프로젝트를 맡는 아파치 소프트웨어 재단은 Log4Shell에 CVSS 점수 최고점인 10점을 부여하였다.[12]
배경
이 부분의 본문은 Log4j입니다.Log4j는 소프트웨어 개발자가 자신의 애플리케이션 안에 다양한 데이터의 로그 기록을 남길 수 있게 하는 오픈 소스 로깅 프레임워크이다. 이 데이터는 사용자 입력을 포함할 수도 있다.[13] 자바 애플리케이션, 특히 기업용 소프트웨어 전반에 사용된다.[5] 2001년 Ceki Gülcü가 처음 개발한 Log4j는 현재 아파치 소프트웨어 재단 프로젝트의 하나인 아파치 로깅 서비스의 일부이다.[14]
각주
- ↑ 가 나 “Log4Shell Vulnerability is the Coal in our Stocking for 2021”. 《맥아피》 (영어). 2021년 12월 10일. 2021년 12월 12일에 확인함.
- ↑ 가 나 “Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package”. 《www.lunasec.io》 (영어). 2021년 12월 9일. 2021년 12월 12일에 확인함.
- ↑ “CVE - CVE-2021-44228”. 《cve.mitre.org》. 2021년 12월 12일에 확인함.
- ↑ “Worst Apache Log4j RCE Zero day Dropped on Internet”. 《www.cyberkendra.com》. 2021년 12월 9일. 2021년 12월 12일에 확인함.
- ↑ 가 나 다 라 Newman, Lily Hay. “‘The Internet Is on Fire’”. 《Wired》 (미국 영어). ISSN 1059-1028. 2021년 12월 12일에 확인함.
- ↑ 가 나 “Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit”. 《PC Magazine》 (영어). 2021년 12월 12일에 확인함.
- ↑ Goodin, Dan (2021년 12월 10일). “Zero-day in ubiquitous Log4j tool poses a grave threat to the Internet”. 《Ars Technica》 (미국 영어). 2021년 12월 12일에 확인함.
- ↑ “Update for Apache Log4j2 Issue (CVE-2021-44228)”. 《aws.amazon.com》. 2021년 12월 12일. 2021년 12월 13일에 확인함.
- ↑ “Security Vulnerability in Minecraft: Java Edition”. 《모장 스튜디오》. 2021년 12월 13일에 확인함.
- ↑ Goodin, Dan (2021년 12월 10일). “The Internet's biggest players are all affected by critical Log4Shell 0-day”. 《ArsTechnica》. 2021년 12월 13일에 확인함.
- ↑ Press, Associated (2021년 12월 11일). “Recently uncovered software flaw ‘most critical vulnerability of the last decade’”. 《가디언》 (영어). 2021년 12월 12일에 확인함.
- ↑ “Log4j – Apache Log4j Security Vulnerabilities”. 《logging.apache.org》. 2021년 12월 12일에 확인함.
- ↑ Yan, Tao; Deng, Qi; Zhang, Haozhe; Fu, Yu; Grunzweig, Josh (2021년 12월 10일). “Another Apache Log4j Vulnerability Is Actively Exploited in the Wild (CVE-2021-44228)”. 《Unit 42》. 팰로앨토 네트웍스.
- ↑ “Log4j – Apache Log4j 2”. 《logging.apache.org》. 2021년 12월 12일에 확인함.