Apache, 새로운 Log4j 취약점을 수정하는 세 번째 패치 공개

Apache releases the third patch to address a new Log4j flaw

 

Apache Software Foundation(ASF)이 log4j 2.16의 심각도 ‘높은’ 서비스 거부(DoS) 취약점인 CVE-2021-45105를 수정하기 위해 일주일 만에 세 번째 버전(버전 2.17.0)을 출시했습니다.

 

재단은 CVE-2021-45046 취약점이 처음에는 심각도 낮음(3.7)으로 평가되었지만, 전문가들이 두 번째 패치를 우회하는 새로운 방법을 찾았기 때문에 심각도 수준을 ‘치명적’ (9.0)로 높였다고 발표했습니다.

 

CVE-2021-45105 취약점은 CVSS 점수 7.5를 받았으며, log4j 2.16에 영향을 미치는 서비스 거부(DoS) 취약점입니다. 전문가들은 버전 2.16에서 JNDI 조회가 비활성화되더라도 특정 상황에서 자체 참조 조회가 여전히 가능하다고 지적했습니다.

 

ASF에서 게시한 권고에서는 아래와 같이 설명했습니다.

 

"Apache Log4j2 버전 2.0-alpha1 ~ 2.16.0은 자체 참조 조회에서 제어되지 않는 재귀로부터 보호하지 못했습니다."

 

"로깅 구성이 컨텍스트 조회와 함께 기본이 아닌 패턴 레이아웃(예: $${ctx:loginId})을 사용하는 경우 스레드 컨텍스트 맵(MDC) 입력 데이터를 제어하는 ​​공격자는 재귀 조회를 포함한 악성 입력 데이터를 만들어 프로세스를 종료시키는 StackOverflowError를 발생시킵니다.”

 

“이로써 스레드 컨텍스트 맵 데이터를 제어하는 ​​공격자가 제작한 문자열이 해석될 때 서비스 거부를 일으킬 수 있습니다. 이 문제는 Log4j 2.17.0 및 2.12.3에서 수정되었습니다."

 

Apache Software Foundation(ASF)은 log4j 버전 2.17.0(Java 8용)을 공개해 CVE-2021-45105 취약점을 수정했습니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/125760/hacking/log4j-third-flaw.html

https://logging.apache.org/log4j/2.x/security.html