로그4쉘, 로그4j 취약점: 무엇인지, 누가 영향을 받고 어떻게 완화하는지
Table of Contents
- 👉 보안 취약점 개요
- 👉 취약점 심각도
- 👉 취약점 발견과 작동 원리
- 👉 영향을 받는 사용자 및 시스템 확인
- 👉 취약한 버전 및 영향 받는 소프트웨어 목록
- 👉 대응 방안
- 👉 로그포제이(Lock4j) 버전 업그레이드
- 👉 다운그레이드 불가한 사용자를 위한 시스템 프로퍼티 변경 방법
- 👉 JDK 버전에 따른 취약점 영향 확인
- 👉 영향 받을 수 있는 다른 오픈 소스 프로젝트 목록
- 👉 패치 및 업데이트 필요성 강조
- 👉 자주 묻는 질문(FAQs)
👉 보안 취약점 개요
이번 동영상에서는 매우 인기 있는 로그인 프레임워크인 로그포제이(Lock4j) 버전 2에 영향을 주는 최신 보안 취약점에 대해 다룰 예정입니다. 이 취약점에 대한 설명과 심각도, 발견일과 작동 원리, 영향 받는 사용자 및 필요한 조치 방법을 순차적으로 알려드리겠습니다. 보안 취약점에 관심이 있는 경우, 제 채널을 구독하시고 새로운 내용을 가장 먼저 확인하실 수 있습니다. 또한, Github와 Twitter를 통해 저의 다른 콘텐츠를 확인하실 수 있습니다. 제 웹사이트 easyacademy.com에도 방문해 주세요. 이번 동영상은 성격적으로는 제 코스에서 다루고 있는 오픈 소스 소프트웨어를 사용하여 데이터 처리, 저장 및 분석하는 방법을 보여주지만, 일반적으로는 보안 취약점에 대한 내용은 다루지 않으므로 예외적인 콘텐츠입니다.
👉 취약점 심각도
로꼬포제이(Lock4j) 취약점은 심각한 수준의 취약성으로, CBSS(Common Vulnerability Scoring System) 점수 기준에서 10점 만점에 10점을 받은 만큼 인터넷 상에 많은 애플리케이션에 영향을 줄 수 있습니다. 이러한 심각성은 11월 24일에 알리바바 클라우드 보안팀의 천 씨에 의해 발견되었습니다. 이후, Apache 재단에 알림이 전송되고, 12월 9일에 해당 취약점이 공개되었습니다. 여기에 매우 많은 사람들이 주말에 이 문제를 해결하고자 하기 때문에, 이 문제가 가능한 빨리 해결되어야 함에 많은 사람들이 걱정하고 있습니다.
👉 취약점 발견과 작동 원리
이 취약점은 제로데이 공격으로, 취약점이 발견된 시점에서는 이를 해결할 수 있는 방법이 알려져 있지 않았습니다. 이 취약점은 애플리케이션을 원격 코드 실행으로 공격하므로, 공격자는 해당 코드를 원격 위치에서 삽입할 수 있습니다. 이 취약점은 주로 데이터를 기록하는 로그포제이(Lock4j) 프레임워크의 버전 2를 사용하는 모든 애플리케이션에 영향을 줍니다. 이 취약점은 사용자의 입력값이 살균되지 않고 애플리케이션에서 사용되는 경우 발생합니다. 이후 공격자는 해당 시스템을 해킹하고 악성 코드를 다운로드하여 시스템을 제어할 수 있게 됩니다. 이 취약점에 대한 더 자세한 정보는 구글이나 빙과 같은 검색 엔진에서 찾아볼 수 있습니다.
👉 영향을 받는 사용자 및 시스템 확인
이 취약점은 로그포제이(Lock4j) 프레임워크 버전 2.0 베타9부터 2.14.1까지 사용하는 사용자에게 영향을 줍니다. 마법(Maven)이나 그래들(Gradle)과 같은 도구를 사용하여 의존성을 관리하는 경우, 로그포제이(Lock4j) API 및 로그포제이(Lock4j) 핵심 의존성을 사용하는 애플리케이션도 영향을 받을 수 있습니다. 단, 로그포제이(Lock4j) 프레임워크 버전 1.0 및 이에 따른 JDK 버전에서는 이 취약점이 발생하지 않습니다. 이와 함께 엘라스틱서치(Logstash)와 같은 아파치(ASF) 프로젝트가 아닌 오픈 소스 프로젝트인 로그스태시(Logstash)와 엘라스틱서치(Elasticsearch), 그리고 레디스(Redis) 등도 이 취약점에 취약할 수 있습니다. 이는 모든 로그포제이(Lock4j)를 사용하는 애플리케이션 및 해당 애플리케이션을 지원하는 환경의 JDK 버전에 영향을 미칠 수 있습니다. 이에 해당되는 사용자는 시스템을 패치하고 취약점을 해결하는 업데이트를 반드시 수행해야 합니다.