[REDOWL 보안패치 적용 방법]

1. REDOWL 웹서버에 REDOWL_WEB_MANAGER_patch_for_log4j_20211220.tar 파일을 업로드
2. root 권한으로 tar 파일 압축 해제
3. install_patch 실행(웹서버 stop → Log4j 라이브러리 삭제 → 웹서버 start 수행)

[REDOWL 보안패치 후 확인 방법]

1. find / log4j-core-*.jar 결과 파일이 존재하지 않음 확인

[IAM 보안패치 적용 방법]

1. IAM 서버에 IAM_patch_for_log4j_20211220.tar 파일을 업로드
2. root 권한으로 tar 파일 압축 해제
3. install_patch 실행 (웹서버 stop → Log4j 라이브러리 삭제 → 웹서버 start 수행)

[IAM 보안패치 후 확인 방법]

1. find / log4j-core-*.jar 결과 파일이 존재하지 않음 확인

[VRIGIS 보안패치 적용 방법]

1. /usr/local/vrigis/web/tomcat/webapps 경로에 해당 파일복사(복사 후 서비스 재시작 필요 없음)
2. find /usr/local/vrigis/web/tomcat/webapps -name "*log4j*" 명령어로 라이브러리 삭제 확인
3. 웹 페이지 접속 → 환경설정 → About → VRIGIS 웹 컨트롤러 버전 1.1.1 확인

■ 대상 버전

Apache Log4j 2.0-beta9 이상 2.14.1 이하 버전

○ Apach Log4j 버전 확인 방법

1. Log4j 가 설치된 경로의 pom파일을 열어 "log4j" 로 검색
2. 검색결과 "사용버전" 확인가능

■ 취약점 내용

공격자가 로그 메시지 또는 로그 메시지 파라메터를 통해 임의의 코드를 실행 가능한 취약점 (CVE-2021-44228, CVSS 10.0)[2]

■ 취약점 패치

2021년 12월 28일 업데이트를 통해 취약점 패치가 다음과 같이 제공되었습니다.

○ Log4j 최신 버전 다운로드(Java 8 이상 : 2.17.1 버전)

https://logging.apache.org/log4j/2.x/download.html

■ Log4j 버전별 취약점 보완조치

보다 자세한 사항은 Apache Log4j Security Vulnerabilities 사이트의 "Mitigation" 섹션을 참고하시기 바랍니다.

○ Log4j 2.10 이상 2.14.1 이하 버전

시스템 프로퍼티 log4j2.formatMsgNoLookups 또는 환경 변수 LOG4J_FORMAT_MSG_NO_LOOKUPS의 값을 true 로 변경하십시오.

○ Log4j 2.0-beta9 이상 2.10.0 미만 버전

JndiLookup 클래스를 다음과 같이 제거하십시오.
# zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

■ 바이로봇 대응 현황

바이로봇 제품에서는 Log4j 관련 취약점으로 유포된 것으로 알려진 악성파일을 다음과 같이 탐지하여 조치하고 있습니다.

○ Linux.S.Agent
○ Shell.S.Agent

■ 참고 사이트

○ Apache 보안 업데이트 현황 - https://logging.apache.org/log4j/2.x/security.html
○ 취약점 정보(CVE-2021-45105) - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105
○ 취약점 정보(CVE-2021-44832) - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44832
○ PoC - https://web.archive.org/web/20211210193908/https://github.com/tangxiaofeng7/apache-log4j-poc