고정 헤더 영역
상세 컨텐츠
본문
Apache Log4j 역직렬화 취약점 발견
Apache Log4j에서 역직렬화 취약점(CVE-2017-5645)이 발견되었습니다.
공격자는 해당 취약점을 악용해 특별히 제작된 2진수 payload를 전송할 수 있습니다. 또한 Log4j모듈이 개체에 대한 바이트 역직렬화 하는 과정에서 공격자가 payload에 포함시킨 코드를 실행시킬 수 있습니다.
해당 취약점은 ObjectInputStream을 처리할 때, 수신기가 신뢰하지 못할 출처에서 온 input을 필터링하지 않았기 때문에 발생합니다. TcpSocketServer와 UdpSocketServer에 필터링 기능을 추가하면 해당 취약점을 해결할 수 있습니다.
영향받는 버전
Apache Log4j 2.0-alpha1 – Apache Log4j 2.8.1
해결방법
Apache Log4j 2.8.2로 업데이트 (▶참고)
참고 :
https://git-wip-us.apache.org/repos/asf?p=logging-log4j2.git;h=5dcc192
http://cve.mitre.org/cgi-bin/cvename.cgi?name=%09CVE-2017-5645
'국내외 보안동향' 카테고리의 다른 글
| 안티 분석 기능을 구현한 저렴한 서비스형 랜섬웨어 발견, Karmen 랜섬웨어 (0) | 2017.04.20 |
|---|---|
| MySQL Riddle 취약점 발견 (0) | 2017.04.19 |
| 크롬, 파이어폭스, 오페라에서 완벽한 탐지가 불가능한 피싱 공격 발견돼 (0) | 2017.04.18 |
| Jackson 프레임워크에서 Java 역직렬화 코드실행 취약점 발견 (0) | 2017.04.17 |
| TheShadowBrokers, 대량의 Windows 제로데이 취약점 공개 (0) | 2017.04.17 |
댓글 영역