ÄïÅØ(´ëÇ¥ ¹æÇõÁØ www.coontec.kr)Àº 22ÀÏ ¹ßÇ¥¸¦ ÅëÇØ, ÀÚ»ç ¿ÀǼҽº ÅëÇÕ °ü¸® ¼Ö·ç¼Ç ‘ÈÀÌÆ®¼Ò½º(WhiteSource)’°¡ ·Î±×4j(Log4j) º¸¾È Ãë¾àÁ¡¿¡ ´ëÇÑ ÀÚµ¿ ŽÁö ¹× ¼öÁ¤»çÇ×À» Á¦°øÇÑ´Ù°í ¹àÇû´Ù.
Áö³ 12¿ù 10ÀÏ°ú 15ÀÏ, ·Î±×4j¿Í °ü·ÃµÈ º¸¾È Ãë¾àÁ¡(CVE-2021-44228°ú ÈÄ¼Ó Ãë¾àÁ¡(CVE-2021-45046)ÀÌ ¿¬ÀÌ¾î ¹ß°ßµÆ´Ù.
·Î±×4j´Â ÀÎÅÍ³Ý ¼ºñ½º ¿î¿µ, À¯Áö °ü¸®, ÇÁ·Î±×·¥ ÀÛ¼º °úÁ¤ÀÇ ¸ðµç ±â·ÏÀ» °ü¸®Çϱâ À§ÇØ »ç¿ëµÇ´Â ÀÚ¹Ù(Java) ±â¹ÝÀÇ ¿ÀǼҽº ·Î±ë À¯Æ¿¸®Æ¼´Ù.
‘·Î±×4½©(Log4shell)’À̶ó°í ºÒ¸®´Â ÇØ´ç Ãë¾àÁ¡Àº ¾ÇÀÇÀûÀÎ °ø°ÝÀÚ°¡ º¸¾È ¾÷µ¥ÀÌÆ®°¡ Àû¿ëµÇÁö ¾ÊÀº ¾ÆÆÄÄ¡ ·Î±×4j ¹öÀü¿¡¼ ±¸¼º, ·Î±× ¸Þ½ÃÁö, ¸Å°³º¯¼ö¿¡ »ç¿ëµÇ´Â JNDI(Java Naming and Directory Interface) ±â´ÉÀ» Á¦¾îÇÒ ¼ö ÀÖµµ·Ï ÇØ LDAP ¹× ±âŸ JNDI °ü·Ã ¿£µåÆ÷ÀÎÆ®¸¦ º¸È£ÇÒ ¼ö ¾ø°Ô µÈ´Ù.
ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â JNDI ·è¾÷(Lookup) ÆÐÅÏÀ» »ç¿ëÇÏ¿© ¾ÇÀÇÀûÀÎ ÀÔ·Â µ¥ÀÌÅ͸¦ Á¶ÀÛÇØ ¼ºñ½º °ÅºÎ(DoS, Denial of Service)À» ¼öÇàÇÒ ¼ö ÀÖ´Ù.
ÀÌ°°Àº ¿ÀǼҽº º¸¾È Ãë¾àÁ¡ÀÇ °æ¿ì, ¿ÀǼҽº¿Í ¿ÀǼҽº »çÀÌÀÇ Á¾¼Ó¼ºÀ¸·Î ÀÎÇØ ¼öµ¿À¸·Î °ü·Ã Ãë¾àÁ¡À» ½Äº°ÇÏ°í ¼öÁ¤ÇÏ´Â °ÍÀÌ ºÒ°¡´ÉÇÏ´Ù.
¿ÀǼҽº ÅëÇÕ °ü¸® ¼Ö·ç¼Ç ÈÀÌÆ®¼Ò½º(WhiteSource)´Â SaaS ±â¹Ý º¸¾È Ãë¾àÁ¡ µ¥ÀÌÅͺ£À̽º¸¦ ÅëÇØ ÀÚµ¿À¸·Î ÇØ´ç Ãë¾àÁ¡À» ŽÁöÇÏ°í ¼öÁ¤ ±Ç°í »çÇ×À» Á¦°øÇÑ´Ù.
ÈÀÌÆ®¼Ò½º´Â ·Î±×4½© Ãë¾àÁ¡ÀÌ º¸°íµÇ±â Àü¿¡ ½É°¢µµ°¡ ³ôÀº Ãë¾àÁ¡ °æ°í¿¡ ´ëÇÑ Á¤Ã¥ ¼³Á¤À» ¸¶Ä£ °æ¿ì¶ó¸é, ¶óÀ̺귯¸®¿¡ ´ëÇÑ Á÷°£Á¢ Á¾¼Ó¼ºÀ» ÅëÇØ ÇØ´ç Ãë¾àÁ¡ÀÇ ¿µÇâÀ» ¹Þ´Â °æ¿ì¿¡ ÀÚµ¿À¸·Î ¾Ë¶÷À» Á¦°øÇÑ´Ù.
½É°¢µµ°¡ ³ôÀº Ãë¾àÁ¡¿¡ ´ëÇØ º°µµÀÇ Á¤Ã¥À» ¼³Á¤ÇÏÁö ¾ÊÀº °æ¿ì¶ó¸é, ÈÀÌÆ®¼Ò½º UI¿¡¼ Á÷Á¢ Ãë¾àÁ¡ º¸°í¼¸¦ È®ÀÎÇØ Á¦Ç° ¶Ç´Â ÇÁ·ÎÁ§Æ®¿¡ ¹ÌÄ¡´Â ¿µÇâÀ» È®ÀÎÇÏ°í ¿ÏÈ Á¤Ã¥À» ¼öÇàÇÒ ¼ö ÀÖ´Ù.
|
|
|
¡ã ÈÀÌÆ®¼Ò½º Ãë¾àÁ¡ º¸°í¼ ³» ·Î±×4j °Ë»ö ȸé.(Ãâó : ÄïÅØ Á¦°ø)
|
|
|
¡ã ÈÀÌÆ®¼Ò½º Ãë¾àÁ¡ º¸°í¼ ³» CVE-2021-44228 °Ë»ö ȸé.(Ãâó : ÄïÅØ Á¦°ø) |
|
ƯÈ÷ À̹ø ·Î±×4j Ãë¾àÁ¡°ú °ü·ÃÇØ ÈÀÌÆ®¼Ò½º´Â ±êÇãºê(Github)¸¦ ÅëÇØ ¹«·á µµ±¸ ‘ÈÀÌÆ®¼Ò½º ·Î±×4j µðÅØÆ®(WhiteSource Log4j Detect)’¸¦ Á¦°øÇØ Äڵ庣À̽ºÀÇ Ãë¾àÁ¡ ¿Ïȸ¦ Áö¿øÇÑ´Ù.
À̸¦ ÅëÇØ ±âÁ¸ÀÇ ¿ÀǼҽº ÇÁ·ÎÁ§Æ®¸¦ ºü¸£°Ô ½ºÄµÇÏ¿© Ãë¾àÇÑ ·Î±×4jÀÇ ¹öÀü°ú °æ·Î¸¦ ½Äº°ÇÒ ¼ö ÀÖ´Ù.
±è¼±Å ÄïÅØ ºÎÀåÀº “¿ÀǼҽº º¸¾È Ãë¾àÁ¡ÀÌ ¹ß°ßµÈ °ÍÀº À̹øÀÌ Ã³À½ÀÌ ¾Æ´Ï´Ù. Àαâ ÀÖ´Â ¿ÀǼҽº´Â ´Ù¾çÇÑ Á¦Ç°°ú ºÐ¾ß¿¡ ±¤¹üÀ§ÇÏ°Ô »ç¿ëµÇ´Â ¸¸Å º¸¾È Ãë¾àÁ¡À¸·Î ÀÎÇÑ ¹®Á¦°¡ ¹ß»ýÇÒ °æ¿ì »çȸÀû ÆÄÀåÀÌ Å¬ ¼ö¹Û¿¡ ¾ø±â ¶§¹®¿¡ ü°èÀûÀ¸·Î º¸¾ÈÀ» Á¡°ËÇÏ´Â °ÍÀÌ Áß¿äÇÏ´Ù”¶ó°í ¸»Çß´Ù.
ÀÌ¾î ±è ºÎÀåÀº “ÈÀÌÆ®¼Ò½º´Â SaaS ±â¹ÝÀ¸·Î ±¸¼ºµÈ º¸¾È Ãë¾àÁ¡ µ¥ÀÌÅͺ£À̽º¸¦ °®Ãß°í ÀÖ¾î Ãë¾àÁ¡ÀÌ Å½ÁöµÇ´Â Áï½Ã ÀÚµ¿À¸·Î °æ°í¸¦ Á¦°øÇÒ ¼ö Àֱ⠶§¹®¿¡ ºü¸£°í Á¤È®ÇÏ°Ô º¸¾È ¾ÈÁ¤¼ºÀ» °ÈÇÒ ¼ö ÀÖ´Ù”°í ÀüÇß´Ù.
<±èµ¿±â ±âÀÚ>kdk@bikorea.net < ÀúÀÛ±ÇÀÚ © BI KOREA ¹«´ÜÀüÀç ¹× Àç¹èÆ÷±ÝÁö > |