상세 컨텐츠

본문 제목

구글, Java 패키지 35,000건 이상이 Log4J 취약점에 영향 받는다 경고해

국내외 보안동향

by 알약4 2021. 12. 22. 14:00

본문

More than 35,000 Java packages impacted by Log4j flaw, Google warns

 

Google 오픈 소스 팀이 Maven Central Java 패키지 저장소를 스캔한 결과 35,863개의 패키지(전체의 약 8%) Log4Shell 익스플로잇 및 CVE-2021-45046 RCE에 취약한 Apache Log4j 라이브러리 버전을 사용하고 있음을 발견했다고 밝혔습니다.

 

Google은 보고서를 발행해 아래와 같이 밝혔습니다.

 

"Maven Central 저장소(가장 규모가 큰 Java 패키지 저장소) 8% 이상에 해당하는 Java 패키지 35,000건 이상이 최근 공개된 log4j 취약점의 영향을 받았으며, 소프트웨어 산업 전반에 걸쳐 영향을 미쳤습니다."

 

"이 취약점이 생태계에 미치는 영향을 고려해볼 때, 8%는 엄청난 규모입니다."

 

Google의 전문가는 오픈 소스 종속성을 결정하는 데 사용되는 프로젝트인 Open Source Insights를 통해 Maven Central 저장소 내의 모든 아티팩트의 모든 버전을 평가했습니다.

 

전문가들은 영향을 받는 패키지 중 약 7,000건이 직접적인 종속성 때문이라 지적했습니다.

 

영향을 받는 아티팩트의 대부분은 간접 종속성과 관련이 있습니다.

 

 

<이미지 출처: https://security.googleblog.com/2021/12/understanding-impact-of-apache-log4j.html>

 

 

연구원들은 아래와 같이 밝혔습니다.

 

“취약점이 종속성 사슬의 깊은 곳에 있을수록 수정하기 위해서는 더 많은 단계가 필요합니다. 위 다이어그램은 영향을 받는 log4j 패키지(코어 또는 API)의 깊이에 대한 히스토그램을 보여줍니다."

 

패키지 중 80% 이상이 1단계 이상 깊이에서 취약점이 발견되었으며, 대다수는 5단계 아래로(일부는 9단계 아래로) 영향을 받습니다. 이러한 패키지는 가장 깊은 종속성부터 시작하여 트리의 모든 부분에 걸친 수정이 필요합니다."

 

하지만, 취약점이 공개된 이후 전체 취약점 패키지의 13%(4,620)이 수정되었습니다.

 

전체 생태계에서 이 취약점을 수정하는 데 얼마나 시간이 소요될까요?

 

이 질문에 답하기는 쉽지 않습니다. 전문가들은 Maven 패키지에 영향을 미치는 권고에서 공개된 결함을 수정하는 데 소요된 시간을 분석하고, 취약점의 영향을 받는 아티팩트의 약 48%만 수정된 것으로 확인했습니다.

 

지난 며칠 동안 조급히 Log4J 취약점을 수정했지만, 전체 취약점을 수정하는 프로세스는 수 년이 걸릴 수 있습니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/125845/security/log4j-java-packages-flaws.html

https://security.googleblog.com/2021/12/understanding-impact-of-apache-log4j.html

관련글 더보기

댓글 영역