하우리 로고 이미지

전체메뉴 열기

Check Virus Alerts and HAURI News

긴급 악성코드 이슈와 하우리 소식을 확인하세요.

공지사항

[취약점 대응] Apache Log4j 취약점 관련 안내
등록일 :
2021.12.13

안녕하세요. (주)하우리입니다.

언론을 통해 보도된 Log4j 취약점에 대해서 Apache 소프트웨어 재단은 긴급 보안 업데이트 권고를 발표했습니다.

당사 제품에서는 Apache Log4j 모듈을 다음과 같이 사용 중입니다. 사용 제품에 따라 대응이 필요합니다.


[ 취약점 대응 불필요 ]
제품군/제품명Log4j 사용 여부취약점과의 연관성
- VMS 5.0 제품군
- VRM 1.0 제품군
- 내PC지키미 웹콘솔
- VRFS 2.5 웹콘솔
- ViRobot SDK
- ViRobot Mobile for Android 제품군
미사용X (없음)

※ 위 제품을 사용하시는 고객께서는 별도 대응이 필요하지 않습니다.


[ 취약점 대응 필요 ]
제품명Log4j 사용 여부취약점과의 연관성
- REDOWL 웹 매니저(※ CS 매니저 제외)2.8.2 버전 사용O (있음)
- IAM(통합 계정관리)2.8.2 버전 사용
- VRIGIS(프로그램 설치유도)1.2.15 버전 사용

※ 위 제품을 사용하시는 고객께서는 취약점 대응을 위해 아래의 보안패치 파일을 다운로드 하신 후 적용하시기 바랍니다.

[REDOWL 보안패치 적용 방법]

1. REDOWL 웹서버에 REDOWL_WEB_MANAGER_patch_for_log4j_20211220.tar 파일을 업로드
2. root 권한으로 tar 파일 압축 해제
3. install_patch 실행(웹서버 stop → Log4j 라이브러리 삭제 → 웹서버 start 수행)

[REDOWL 보안패치 후 확인 방법]

1. find / log4j-core-*.jar 결과 파일이 존재하지 않음 확인

[IAM 보안패치 적용 방법]

1. IAM 서버에 IAM_patch_for_log4j_20211220.tar 파일을 업로드
2. root 권한으로 tar 파일 압축 해제
3. install_patch 실행 (웹서버 stop → Log4j 라이브러리 삭제 → 웹서버 start 수행)

[IAM 보안패치 후 확인 방법]

1. find / log4j-core-*.jar 결과 파일이 존재하지 않음 확인

[VRIGIS 보안패치 적용 방법]

1. /usr/local/vrigis/web/tomcat/webapps 경로에 해당 파일복사(복사 후 서비스 재시작 필요 없음)
2. find /usr/local/vrigis/web/tomcat/webapps -name "*log4j*" 명령어로 라이브러리 삭제 확인
3. 웹 페이지 접속 → 환경설정 → About → VRIGIS 웹 컨트롤러 버전 1.1.1 확인


당사 제품 이외 고객께서 Apache Log4j 모듈을 사용하고 있다면 버전에 따라 취약점을 제거해 주십시오.

■ 대상 버전

Apache Log4j 2.0-beta9 이상 2.14.1 이하 버전

○ Apach Log4j 버전 확인 방법

1. Log4j 가 설치된 경로의 pom파일을 열어 "log4j" 로 검색
2. 검색결과 "사용버전" 확인가능

■ 취약점 내용

공격자가 로그 메시지 또는 로그 메시지 파라메터를 통해 임의의 코드를 실행 가능한 취약점 (CVE-2021-44228, CVSS 10.0)[2]

■ 취약점 패치

2021년 12월 28일 업데이트를 통해 취약점 패치가 다음과 같이 제공되었습니다.

○ Log4j 최신 버전 다운로드(Java 8 이상 : 2.17.1 버전)

https://logging.apache.org/log4j/2.x/download.html

■ Log4j 버전별 취약점 보완조치

보다 자세한 사항은 Apache Log4j Security Vulnerabilities 사이트의 "Mitigation" 섹션을 참고하시기 바랍니다.

○ Log4j 2.10 이상 2.14.1 이하 버전

시스템 프로퍼티 log4j2.formatMsgNoLookups 또는 환경 변수 LOG4J_FORMAT_MSG_NO_LOOKUPS의 값을 true 로 변경하십시오.

○ Log4j 2.0-beta9 이상 2.10.0 미만 버전

JndiLookup 클래스를 다음과 같이 제거하십시오.
# zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

■ 바이로봇 대응 현황

바이로봇 제품에서는 Log4j 관련 취약점으로 유포된 것으로 알려진 악성파일을 다음과 같이 탐지하여 조치하고 있습니다.

○ Linux.S.Agent
○ Shell.S.Agent



Top