공지사항

제목 [긴급 공지] TmaxTibero 제품군 Log4j 보안 취약점 영향도 및 조치 가이드

1. 개 요

Apache Log4j / LogBack 보안취약점 발생에 따른 TmaxTibero 에서 제공해드리는 보안취약점 조치 가이드 문서입니다


2. 보안취약점 정보

1) Apache Log4j 2

Apache Log4j 2에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)

Apache Log4j 2에서 발생하는 서비스 거부 취약점(CVE-2021-45046,CVE-2021-45105))

대상 버전 : log4j-core / 2.0-beta9 ~ 2.12.1 및 2.13.0 ~ 2.16.0의 모든 버전(log4j 2.12.3 제외)

대응 방안

1)     제조사 업데이트 가능 경우

-       Java 8 : Log4j 2.1.7.0 으로 업데이트

-       Java 7 : Log4j 2.12.3 으로 추후 업데이트 (미발표 버전)

2)     제조사 업데이트 불가능 경우

-       JndiLookup 클래스를 경로에서 제거

        zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class


2) Apache Log4j 1.2

Apache Log4j 1.2에서 발생하는 원격코드 실행 취약점(CVE-2021-4104)

대상 버전 : log4j 1.X 버전

     JMSAppender를 사용하지 않는 경우 취약점 영향 없음

대응 방안

1)     제조사 업데이트 가능 경우

-       Java 8 : Log4j 2.1.7.0 으로 업데이트

-       Java 7 : Log4j 2.12.3 으로 추후 업데이트 (미발표 버전)

2)     제조사 업데이트 불가능 경우

-       JMSApeender 클래스를 경로에서 제거

          zip -q -d log4j-1.2.12.jar org/apache/log4j/net/JMSAppender.class


3) Logback  

Logback에서 발생하는 원격코드실행 취약점(CVE-2021-42550)

대상 버전 : Logback 1.2.9 이전버전

     로그백 원격코드 실행 취약점이 발현되기 위해서는 아래 조건이 모두 충족되어야 함

공겨자는 사전에 로그백 설정파일(logback.xml)에 접근 및 쓰기 권한이 있어야 함

공격자가 변조한 설정 파일(logback.xml)이 시스템에 적용되어야 함

- logback의 설정파일에 접근 및 쓰기가 가능한 경우 JMSAppneder를 통해 JNDI lookup을 실행할수 있음

대응 방안

1)     제조사 업데이트 가능 경우

-       Logback 1.2.9 버전으로 업데이트

 

3. TmaxTibero 제품군 Log4j / Log4j2 취약점 영향도

당사 제품은 SysMaster DB를 제외 Log4j 2 를 사용하지 않고 Log4j 1.2 버전(JMSAppender 미사용)을 사용하므로

이번 보안취약점에 대해 영향 없이 안전합니다.

제품명

Log4j

사용 여부

Log4j

사용 버전

Log4j 2

보안취약점 취약 여부

Log4j 1.2

보안취약점 취약 여부

(JMSAppender 사용)

Tibero

O

1.2.x

X

X

T-Up

O

1.2.x

X

X

Tibero Studio

O

1.2.x

X

X

Action Replay

O

1.2.x

X

X

Tbmigrator

O

1.2.x

X

X

Prosync Manager

O

1.2.x

X

X

SysMaster DB

O

2.5.0

O

X


     SysMaster DB 제품을 사용하시는 경우 r3450 이후 버전으로 업그레이드 必 (기술지원 문의)




4. TmaxTibero 제품군 Logback 취약점 영향도

Tmax Tibero 제품군은 Logback을 사용하지 않음

제품명

Logback

시용 여부

Logback

사용 버전

Logback

보안취약점 취약 여부

Logback

업그레이드 가능 여부

Tibero

X

X

X

해당없음

T-Up

X

X

X

해당없음

Tibero Studio

X

X

X

해당없음

Action Replay

X

X

X

해당없음

Tbmigrator

X

X

X

해당없음

Prosync Manager

X

X

X

해당없음

SysMaster DB

X

X

X

해당없음



첨부파일
Plugin HTML5