개요
Logback에서 발생하는 원격코드 실행 취약점 (CVE-2021-42550)[2]
- 공격자가 Logback구성파일인 logback.xml을 조작할 경우, 해당파일을 참조하는 과정에서 삽입된 JNDI*쿼리문을 실행 해 임의의 원격코드를 실행할 수 있는 취약점
※ 공격 전제조건
- Logback구성파일 logback.xml에 대한 쓰기 권한이나 해당파일을 수정/덮어쓰기 가능할 경우
- 수정된 구성파일 logback.xml을 환경에 적용(reload)할 수 있는 권한
* JNDI : 디렉토리 서비스에서 제공하는 데이터 및 객체를 발견하고 참고하기 위한 Java API
(Java Naming and Directory Interface의 약어)
영향받는버전
- 1.2.8 이하 모든버전
- 1.3.0-alpha10 이하 모든버전
해결방안
취약점 업데이트 (패치 적용 前 업무시스템의 서비스 영향 검토 후 적용할 것)
- 1.2.8이하 버전의 경우, 최신 버전(1.2.9) 업그레이드 적용 [3]
- 1.3.0-alpha10이하 버전의 경우, 1.3.0-alpha11로 업그레이드 적용[3]
※ 1.3.x시리즈의 경우, 기본적으로 JAVA9 모듈화 되어 있으며 slf4j-api 버전 2.0.x 필요
(runtime에는 Java8이상이면 되지만, 소스에서 Logback을 빌드하려면 Java9 필요)
임시 조치방안 (패치 즉시적용 불가할 경우)
1) 구성파일 logback.xml파일의 권한을 read-only로 변경
※ logback.xml 파일 위치 : /src/main/resources/
참고사이트
[1] https://nvd.nist.gov/vuln/detail/CVE-2021-42550
[2] http://logback.qos.ch/news.html
[3] https://repo1.maven.org/maven2/ch/qos/logback/
'Development > Java' 카테고리의 다른 글
| pom.xml sample (0) | 2024.05.03 |
|---|---|
| [spring] log4j 1.x.x 에서 log4j 2.x.x로 변경 (0) | 2022.02.23 |
| log4j 2.x 버전 다운로드 (0) | 2021.12.14 |
| [log4j] org.quartz.core.QuartzSchedulerThread 로그가 보기 싫을때 (0) | 2021.05.27 |
| [Log4j 2] 환경설정 (0) | 2021.05.27 |