Development/Java

logback 취약점에 따른 취약점 조치

망할고양이 2021. 12. 20. 10:46

개요

Logback에서 발생하는 원격코드 실행 취약점 (CVE-2021-42550)[2]
-   공격자가 Logback구성파일인 logback.xml을 조작할 경우, 해당파일을 참조하는 과정에서 삽입된 JNDI*쿼리문을 실행 해 임의의 원격코드를 실행할 수 있는 취약점
※ 공격 전제조건
- Logback구성파일 logback.xml에 대한 쓰기 권한이나 해당파일을 수정/덮어쓰기 가능할 경우
- 수정된 구성파일 logback.xml을 환경에 적용(reload)할 수 있는 권한
 
* JNDI : 디렉토리 서비스에서 제공하는 데이터 및 객체를 발견하고 참고하기 위한 Java API
(Java Naming and Directory Interface의 약어)

 

영향받는버전

- 1.2.8 이하 모든버전
- 1.3.0-alpha10 이하 모든버전

 

해결방안

취약점 업데이트 (패치 적용 前 업무시스템의 서비스 영향 검토 후 적용할 것)
-   1.2.8이하 버전의 경우, 최신 버전(1.2.9) 업그레이드 적용 [3]
-   1.3.0-alpha10이하 버전의 경우, 1.3.0-alpha11로 업그레이드 적용[3]
※   1.3.x시리즈의 경우, 기본적으로 JAVA9 모듈화 되어 있으며 slf4j-api 버전 2.0.x 필요
(runtime에는 Java8이상이면 되지만, 소스에서 Logback을 빌드하려면 Java9 필요)

 

임시 조치방안 (패치 즉시적용 불가할 경우)

1)    구성파일 logback.xml파일의 권한을 read-only로 변경
※ logback.xml 파일 위치 : /src/main/resources/

 

 

참고사이트

[1]    https://nvd.nist.gov/vuln/detail/CVE-2021-42550
[2]    http://logback.qos.ch/news.html
[3]    https://repo1.maven.org/maven2/ch/qos/logback/