상세 컨텐츠

본문 제목

Apache Log4j 역직렬화 취약점 발견

국내외 보안동향

by 알약(Alyac) 2017. 4. 19. 10:23

본문

Apache Log4j 역직렬화 취약점 발견


Apache Log4j에서 역직렬화 취약점(CVE-2017-5645)이 발견되었습니다. 

공격자는 해당 취약점을 악용해 특별히 제작된 2진수 payload를 전송할 수 있습니다. 또한 Log4j모듈이 개체에 대한 바이트 역직렬화 하는 과정에서 공격자가 payload에 포함시킨 코드를 실행시킬 수 있습니다. 


해당 취약점은 ObjectInputStream을 처리할 때, 수신기가 신뢰하지 못할 출처에서 온 input을 필터링하지 않았기 때문에 발생합니다. TcpSocketServer와 UdpSocketServer에 필터링 기능을 추가하면 해당 취약점을 해결할 수 있습니다. 



영향받는 버전 


Apache Log4j 2.0-alpha1 – Apache Log4j 2.8.1



해결방법


Apache Log4j 2.8.2로 업데이트  (▶참고)







참고 : 

https://git-wip-us.apache.org/repos/asf?p=logging-log4j2.git;h=5dcc192 

http://cve.mitre.org/cgi-bin/cvename.cgi?name=%09CVE-2017-5645 

https://issues.apache.org/jira/browse/LOG4J2-1863 

http://seclists.org/oss-sec/2017/q2/78

관련글 더보기

댓글 영역