개발/ETC

JAVA Log4J2 취약점 - CVE-2021-44228

bitofsky 2021. 12. 11. 03:12

JAVA에서 굉장히 흔하게 사용하는 Log4J2에 크리티컬한 취약점이 발견되었다.

Steam, AWS, Apple 등 거의 대부분의 자바를 사용하는 웹서버가 취약점에 노출되었으며, 실행 난이도가 너무 쉬워서 파급력이 상상을 초월할 지경이다. RIP...

https://www.lunasec.io/docs/blog/log4j-zero-day/

 

RCE 0-day exploit found in log4j, a popular Java logging package | LunaSec

Given how ubiquitous this library is, the impact of this vulnerability is quite severe. Learn how to patch it, why it's bad, and more in this post.

www.lunasec.io

 

알려진 위험성

ELK 취약점 공지

 

Apache Log4j2 Remote Code Execution (RCE) Vulnerability - CVE-2021-44228 - ESA-2021-31

Summary: A high severity vulnerability (CVE-2021-44228) impacting multiple versions of the Apache Log4j 2 utility was disclosed publicly via the project’s GitHub on December 9, 2021. The vulnerability impacts Apache Log4j 2 versions 2.0 to 2.14.1. This a

discuss.elastic.co

  • ElasticSearch - 안전 (log4j 사용하지 않음)
  • Logstash - 취약점 노출. 버전 업그레이드 필요
  • Kibana - 안전 (nodejs server)