Log4j 2.15.0 으로 업그레이드 한지 하루만에 CVE-2021-45046 가 공개되었습니다.
영향 받는 버전
Logj2 <2.16.0
취약점 내용
Context Lookup 이나 Thread Context Map pattern 에서 악의적인 데이터로 JNDI 조회 사용하여 DoS(Denial of Service)을 일으킬 수 있습니다.
# Context Lookup
$${ctx:loginId})
# Thread Context Map pattern
%X, %mdc, or %MDC
조치 방법
기존의 log4j2.noFormatMsgLookup 등의 방법은 효과가 없습니다.
- 2.16.0 으로 업그레이드 합니다
- JndiLookup 클래스를 제거 합니다. (zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class)
지금까지 나온 Logj 관련 CVE 정리 입니다.
| CVE Number | Desccription |
| CVE-2017-5645 | Log4j 2.x before 2.8.2 |
| CVE-2019-17571 | Log4j 1.2 |
| CVE-2020-9488 | Apache Log4j SMTP appender |
| CVE-2021-4104 | Log4j 1.2 |
| CVE-2021-44228 | Log4j2 <=2.14.1 - highest Priority |
| CVE-2021-45046 | Apache Log4j 2.15.0 |
잘 체크하시고 안전한 서비스 운영 되세요!
'개발 > JAVA' 카테고리의 다른 글
| Log4j 취약점 (CVE-2021-44228) 을 막는 5가지 방법 (0) | 2021.12.15 |
|---|---|
| CVE-2021-44228 취약점 (0) | 2021.12.12 |
| Maven Central Repository blocking http protocol (0) | 2020.01.20 |
| Spring Camp 2019 발표자료 (0) | 2019.04.29 |
