아파치(ASF)는 지난 화요일에 위협 행위자가 취약한 시스템에서 악성 코드를 실행하기 위해 악용할 수 있는 Log4j의 임의 코드 실행 결함을 포함하는 새로운 패치를 공개했다.

CVE-2021-44832로 추적된 이 취약점의 심각도는 10점 만점에 6.6이며 2.3.2 및 2.12.4를 제외하고 2.0-alpha7부터 2.17.0까지 모든 버전의 로깅 라이브러리에 영향을 미친다. Log4j 버전 1.x는 영향을 받지 않지만 사용자는 Log4j 2.3.2(Java 6용), 2.12.4(Java 7용) 또는 2.17.1(Java 8 이상용)로 업그레이드하는 것이 좋다.

ASF는 권고에서 "Apache Log4j 버전 2.0-beta7~2.17.0(보안 수정 릴리스 2.3.2 및 2.12.4 제외)은 로깅 구성 파일 수정 권한이 있는 공격자가 원격 코드를 실행할 수 있는 JNDI URI를 참조하는 데이터 소스와 함께 JDBC Appender를 사용하는 악성 구성을 만들어 낼 수 있는 원격 코드 실행(RCE) 공격에 취약하다."라며 "이 문제는 JNDI 데이터 소스 이름을 Log4j2 버전 2.17.1, 2.12.4 및 2.3.2의 Java 프로토콜로 제한하여 해결되었다."고 전했다.

더해커뉴스에 따르면, ASF는 이 문제에 대한 크레딧을 제공하지 않았지만 체크막스 보안 연구원은 12월 27일 취약점을 아파치에 보고한 것에 대한 크레딧을 주장했다.

연구원은 "이 취약점의 복잡성은 공격자가 구성을 제어해야 하므로 CVE-2021-44228보다 더 높다. Logback과 달리 Log4j에는 원격 구성 파일을 로드하거나 코드를 통해 로거를 구성할 수 있는 기능이 있으므로 MitM 공격, 사용자 입력이 취약한 구성 변수에 도달하거나 구성 파일을 수정하는 방법으로 임의 코드를 실행할 수 있다"라고 설명했다.

이번 달 초에 Log4Shell 결함이 밝혀진 이후로 ASF는 패치를 통해 Log4j의 총 4가지 문제를 해결했으며, 지원이 종료되어 패치되지 않을 버전 Log4j 1.2에 영향을 미치는 취약점 역시 존재한다.

CVE-2021-44832 이외의 취약점은 아래와 같다.

- CVE-2021-44228(CVSS 점수: 10.0): Log4j 버전 2.0-beta9에서 2.14.1에 영향을 주는 원격 코드 실행 취약점(버전 2.15.0에서 수정됨)

- CVE-2021-45046(CVSS 점수: 9.0): Log4j 버전 2.0-beta9에서 2.15.0(2.12.2 제외)에 영향을 미치는 정보 누출 및 원격 코드 실행 취약점(버전 2.16.0에서 수정됨)

- CVE-2021-45105(CVSS 점수: 7.5): 2.0-beta9에서 2.16.0까지의 Log4j 버전에 영향을 미치는 서비스 거부 취약점(버전 2.17.0에서 수정됨)

- CVE-2021-4104(CVSS 점수: 8.1): Log4j 버전 1.2에 영향을 미치는 신뢰할 수 없는 역직렬화 결함(수정 사항 없음, 버전 2.17.1로 업그레이드 필요)

이 개발은 호주, 캐나다, 뉴질랜드, 영국 및 미국 전역의 정보 기관이 악의적인 행위자에 의해 아파치의 Log4j 소프트웨어 라이브러리에 있는 여러 취약점의 대량 악용에 대한 공동 권고 경고를 발표함에 따라 이루어졌다.

★정보보안 대표 미디어 데일리시큐!★