KISA 보안 공지
|
□ 개요
o Apache 소프트웨어 재단은 자사의 Log4j 2에서 발생하는 취약점을 해결한 보안 업데이트 권고
o 공격자는 해당 취약점을 이용하여 악성코드 감염 등의 피해를 발생 시킬수 있으므로, 최신 버전으로 업데이트 권고
□ 주요 내용
o Apache Log4j 2에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)
o Apache Log4j 2에서 발생하는 서비스 거부 취약점(CVE-2021-45046)
o Apache Log4j 1.2에서 발생하는 원격코드 실행 취약점(CVE-2021-4104)
※ Log4j : 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티
□ 영향을 받는 버전
o CVE-2021-44228 : 2.0-beta9 ~ 2.14.1 버전 (Log4j 2.12.2 제외)
o CVE-2021-45046 : 2.0-beta9 ~ 2.12.1 및 2.13.0 ~ 2.15.0 버전
o CVE-2021-4104 : 1.x 버전 (JMSAppender를 사용하지 않는 경우 취약점 영향 없음)
※ 참고사이트 KISA (https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389)
|
당사의 제품 중 금번 Log4j를 사용하고 있는 전체 제품은 다음표와 같습니다.
패치 대상이 되는 고객께는 당사에서 별도로 연락 드려 기술지원 할 예정입니다.
추가사항이 있으면 다시 공지 드리겠습니다.
[표] Log4j를 사용하고 있는 소프트캠프 제품 현황
※ 개발계획은 제품QA가 포함된 일정으로 상황에 따라 변경될 수 있습니다.