공지사항

제목 [긴급 공지] TmaxSoft 제품군 Log4j 보안 취약점 영향도 및 조치 가이드(Update 21.12.30)

1. 개 요

Apache Log4j / LogBack 보안취약점 발생에 따른 TmaxSoft 에서 제공해드리는 보안취약점 조치 가이드 문서입니다


2. 보안취약점 정보

1) Apache Log4j 2

Apache Log4j 2에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)

Apache Log4j 2에서 발생하는 서비스 거부 취약점(CVE-2021-45046,CVE-2021-45105,CVE-2021-44832)

대상 버전 : log4j-core / 2.0-beta9 ~ 2.12.1 및 2.13.0 ~ 2.17.0의 모든 버전(log4j 2.12.4 제외)

대응 방안

1)     제조사 업데이트 가능 경우

-       Java 8 : Log4j 2.17.1 으로 업데이트

-       Java 7 : Log4j 2.12.4 으로 업데이트

-       Java 6 : Log4j 2.3.2 으로 업데이트

2)     제조사 업데이트 불가능 경우

-       JndiLookup 클래스를 경로에서 제거

        zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

 

2) Apache Log4j 1.2

Apache Log4j 1.2에서 발생하는 원격코드 실행 취약점(CVE-2021-4104)

대상 버전 : log4j 1.X 버전

     JMSAppender를 사용하지 않는 경우 취약점 영향 없음

대응 방안

1)     제조사 업데이트 가능 경우

-       Java 8 : Log4j 2.17.1 으로 업데이트

-       Java 7 : Log4j 2.12.4 으로 업데이트

2)     제조사 업데이트 불가능 경우

-       JMSApeender 클래스를 경로에서 제거

          zip -q -d log4j-1.2.12.jar org/apache/log4j/net/JMSAppender.class


3) Logback  

Logback에서 발생하는 원격코드실행 취약점(CVE-2021-42550)

대상 버전 : Logback 1.2.9 이전버전

     로그백 원격코드 실행 취약점이 발현되기 위해서는 아래 조건이 모두 충족되어야 함

- 공겨자는 사전에 로그백 설정파일(logback.xml)에 접근 및 쓰기 권한이 있어야 함

- 공격자가 변조한 설정 파일(logback.xml)이 시스템에 적용되어야 함

- logback의 설정파일에 접근 및 쓰기가 가능한 경우 JMSAppneder를 통해 JNDI lookup을 실행할수 있음

대응 방안

1)     제조사 업데이트 가능 경우

-       Logback 1.2.9 버전으로 업데이트


3. TmaxSoft 제품군 Log4j / Log4j2 취약점 영향도

당사 제품은 Log4j 2 를 사용하지 않고 로거를 직접 구현했거나, Log4j 1.2 버전(JMSAppender 미사용)을 사용하므로

이번 보안취약점에 대해 영향 없이 안전합니다.

제품명

Log4j

사용 여부

Log4j

사용 버전


모듈

Log4j 2

보안취약점 취약 여부

Log4j 1.2

보안취약점 취약 여부

(JMSAppender 사용)

JEUS 7.0.0.3 이하

(JEUS 5, 6)

O

1.2.x

UDDI (WebService 표준)

JEUS Webadmin

X

X

JEUS 7.0.0.4 이상

(JEUS 8, 8.5)

O

1.2.x

UDDI (WebService 표준)

X

X

AnyLink 7 /InifniLink

O

1.2.x

Webadmin

X

X

AnyLink/T

O

1.2.x

Studio, JMapper

X

X

AnyLink/P

O

1.2.x

Studio, JMapper

X

X

SysMaster

O

1.2.x

Master

X

X

InfiniCache

X

-


X

X

ProBus

O

1.2.x

Engine

X

X

ProObject 7

X

-

Engine /  Studio

X

X

ProFrame Java / C

O

1.2.x

Engine /  Studio

X

X



4. TmaxSoft 제품군 Logback 취약점 영향도

JEUS7.0.0.4 이상, ProFrame 3.5, Openframe 7 제품에 webadmin에서 logback을 사용함.

제품명

Logback

시용 여부

Logback

사용 버전

모듈

Logback

보안취약점 취약 여부

Logback

업그레이드 가능 여부

JEUS 7.0.0.3 이하

(JEUS 5, 6)

X

-

-

X

X

JEUS 7.0.0.4 이상

(JEUS 8, 8.5)

O

1.1

Webadmin

O

O

AnyLink 7 /InifniLink

X

-

-

X

X

AnyLink/T

X

-

-

X

X

AnyLink/P

X

-

-

X

X

SysMaster

X

-

-

X

X

InfiniCache

X

-

-

X

X

ProBus

X

-

-

X

X

ProObject 7

X

-

-

X

X

ProFrame 3.5

O

1.1

-

O

X

ProFrame Java / C

X

-

-

X

X

Openframe 7

O

1.x

GW / Manager

O

O


JEUS log4j 제거 패치 [다운로드]

JEUS logback 버전업그레이드 Webadmin [다운로드]

 

[참고사이트]

1)    CVE 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228

2)     CVE 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046

3)     CVE 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4104

4)     CVE 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42550

5)     CVE 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105


6)     CVE 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44832

7)     KISA 인터넷 보호나라 보안공지

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36396

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36397

첨부파일
Plugin HTML5