안녕하세요. 한국SW산업협회입니다.

과학기술정보통신부에서는 Apache Log4j 2(인터넷 로그기록 프로그램) 서비스에 대한 보안취약점이 발견됨에 따라 긴급 보안 업데이트를 권고하고 있습니다.

해당 서비스는 홈페이지의 운영, 관리 등 목적으로 로그기록을 남기기 위해 사용되는 프로그램이며 업데이트를 수행하지 않을 경우 취약점을 악용해 공격자가 원격에서 공격코드를 실행시킬 수 있어 심각한 피해를 입을 수 있습니다.

관련하여 보안취약점 조치에 대한 자세한 사항과 보안공지 내용을 아래와 같이 안내드리니 참고하시어 조치하시기 바랍니다.

또한, 본 보안취약점의 위험성이 높은 만큼 우리 협회 회원사의 Apache Log4j 2(인터넷 로그기록 프로그램) 보안 업데이트 관련 현황을 조사하고 있으니 바쁘시겠지만 잠시 시간을 할애하시어 조사에 참여 부탁드립니다.

감사합니다.

□ 주요 내용

 o Apache Log4j 2*에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)

   * 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티

□ 해결방안

 o 2.0-beta9 ~ 2.10.0

   - JndLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar          
     org/apache/logging/log4j/core/lookup/JndiLookup.class

 o 2.10 ~ 2.14.1
   - log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정

 o 제조사 홈페이지를 통해 최신버전(2.15.0)으로 업데이트 적용

※ 보안공지 : [자세히보기]