Apache의 Log4j 제로데이 취약점인 CVE-2021-44228의 보안 업데이트가 배포됐지만 12월 14일, 두번째 취약점이 발견됐다. 이에 대해 업데이트를 발표하였다.
Apache는 첫번째 취약점을 보완한 버전인 Apache Log4j v2.15.0이 특정한 구성 요소에서 불완전한 모습을 보인다고 알렸으며 이완 관련된 두번째 취약점에 대해 CVE-2021-45046으로 지정했다. 해당 취약점은 JNDI 조회 패턴에서 악의적인 입력 데이터를 조작하여 서비스 거부(DOS) 공격을 일으킬 수 있다.
Apache는 CVE-2021-45046 취약점을 해결하기 위해 Log4j 2.16.0 버전을 출시하며, 사용자에게 최신 릴리스로 업데이트할 것을 권장한다.
사진 출처: Apache 홈페이지
출처
[1] Logging Apache (2021.12.17) - Apache Log4j Security Vulnerabilities
https://logging.apache.org/log4j/2.x/security.html
[2] Inca Internet ISARC (2021.12.17) - Apache Log4j 보안 업데이트 권고
https://erteam.tistory.com/4768
'최신 보안 동향' 카테고리의 다른 글
| 스파이더맨-노 웨이 홈을 주제로 한 코인마이너 악성코드 발견 (0) | 2021.12.27 |
|---|---|
| Amazon AWS 서비스 중단 사태 (0) | 2021.12.17 |
| Cox Communications, 고객 데이터 유출 (0) | 2021.12.15 |
| 안드로이드 대상 Anubis 악성코드 (0) | 2021.12.15 |
| Apache Log4j 제로데이 취약점 악용 (0) | 2021.12.13 |