취약점 설명

Java 로깅 라이브러리(log4j)를 이용한 원격 명령 실행(CVE-2021-44228)

로그메시지 및 파라미터에 사용되는 JNDI기능의 메시지 조회 대체 기능이 활성화되어 있을 경우 임의의 코드 실행 가능

대 상

Apache Log4j 2.0 ~ 2.14.1 사이에서 발생


대응 방안

1) log4j 2.15.0 버전으로 변경

2) "log4j2.formatMsgNoLookups"를 "true"로 설정

+ Recent posts