안녕하세요. (주)하우리입니다.
언론을 통해 보도된 Log4j 취약점에 대해서 Apache 소프트웨어 재단은 긴급 보안 업데이트 권고를 발표했습니다.
당사 제품에서는 Apache Log4j 모듈을 다음과 같이 사용 중입니다. 사용 제품에 따라 대응이 필요합니다.
[ 취약점 대응 불필요 ] | ||
---|---|---|
제품군/제품명 | Log4j 사용 여부 | 취약점과의 연관성 |
- VMS 5.0 제품군 - VRM 1.0 제품군 - 내PC지키미 웹콘솔 - VRFS 2.5 웹콘솔 - ViRobot SDK - ViRobot Mobile for Android 제품군 | 미사용 | X (없음) |
※ 위 제품을 사용하시는 고객께서는 별도 대응이 필요하지 않습니다.
[ 취약점 대응 필요 ] | ||
---|---|---|
제품명 | Log4j 사용 여부 | 취약점과의 연관성 |
- REDOWL 웹 매니저(※ CS 매니저 제외) | 2.8.2 버전 사용 | O (있음) |
- IAM(통합 계정관리) | 2.8.2 버전 사용 | |
- VRIGIS(프로그램 설치유도) | 1.2.15 버전 사용 |
※ 위 제품을 사용하시는 고객께서는 취약점 대응을 위해 아래의 보안패치 파일을 다운로드 하신 후 적용하시기 바랍니다.
[REDOWL 보안패치 적용 방법]
1. REDOWL 웹서버에 REDOWL_WEB_MANAGER_patch_for_log4j_20211220.tar 파일을 업로드
2. root 권한으로 tar 파일 압축 해제
3. install_patch 실행(웹서버 stop → Log4j 라이브러리 삭제 → 웹서버 start 수행)
[REDOWL 보안패치 후 확인 방법]
1. find / log4j-core-*.jar 결과 파일이 존재하지 않음 확인
[IAM 보안패치 적용 방법]
1. IAM 서버에 IAM_patch_for_log4j_20211220.tar 파일을 업로드
2. root 권한으로 tar 파일 압축 해제
3. install_patch 실행 (웹서버 stop → Log4j 라이브러리 삭제 → 웹서버 start 수행)
[IAM 보안패치 후 확인 방법]
1. find / log4j-core-*.jar 결과 파일이 존재하지 않음 확인
[VRIGIS 보안패치 적용 방법]
1. /usr/local/vrigis/web/tomcat/webapps 경로에 해당 파일복사(복사 후 서비스 재시작 필요 없음)
2. find /usr/local/vrigis/web/tomcat/webapps -name "*log4j*" 명령어로 라이브러리 삭제 확인
3. 웹 페이지 접속 → 환경설정 → About → VRIGIS 웹 컨트롤러 버전 1.1.1 확인