요며칠 Apache Log4J의 RCE 취약점인 CVE-2021-44228이 기승을 부리고 있다. Apahce사가 바쁠만도 하다. 발빠른 대처로 이에대한 패치인 2.15를 issue했지만, 2.15에 재미있는 취약점이 하나 발견되었다고 한다. CVE-2021-45046으로 명명된 요놈은 Thread Context Map와 관련된 공격이다. 공격자가 JNDI를 이용해서(44228도 요 JNDI가 문제였다.) DOS를 일으킬 수 있는 취약점인데, mitre에 CVE에 등록된것이 21년 12월 14일인데, Apache사가 바로 2.16버전을 발표하였다.
문제는 이 2.16에서도 DOS가 발견되었다는 것인데, 요점은 특정한 문자대치가 발생할 때 에이전트가 무한루프에 들어간다는 점이다. 해당 취약점의 String은 아래 링크를 참조해주시기 바란다.
Upgraded to log4j 2.16? Surprise, there's a 2.17 fixing DoS
Yesterday, BleepingComputer summed up all the log4j and logback CVEs known thus far. Ever since the critical log4j zero-day saga began last week, security experts have time and time again recommended version 2.16 as the safest release to be on. That chan
www.bleepingcomputer.com
* 2.16을 사용하고 있는 시스템이 있다면 2.17로 업데이트 해주시기 바랍니다. 이 취약점은 기본구성의 실패로 발생한 DOS취약점으로 사용하지 않는거 말고는 기존버전(2.16)에서 보안통제로 해결할 수 없습니다.
'정보보안-이론' 카테고리의 다른 글
| [보안렉카] 역사상 최약의 보안취약점? Apache Log4j 2 CVE-2021-44228 (0) | 2021.12.12 |
|---|