[공지] Apache Log4j 취약점 안내
1. 취약점 개요
- Apache Log4j는 프로그램을 작성하는 도중에 로그를 생성하는 자바 기반 오픈소스 유틸리티입니다.
- 본 취약점에 영향받는 Apache Log4j 버전은
ㅇ CVE-2021-44228 : 2.0-beta9 ~ 2.14.1 버전 (Log4j 2.12.2 제외)
ㅇ CVE-2021-45046 : 2.0-beta9 ~ 2.12.1 및 2.13.0 ~ 2.15.0 버전
ㅇ CVE-2021-45105 : 2.0-beta9 ~ 2.16.0 버전
ㅇ CVE-2021-4104 : 1.2 버전
에 해당되며 취약점을 이용하여 악성코드 감염 등의 피해를 발생시킬 수 있습니다.
※ Apache Log4j 1.2의 경우 JMSAppender를 사용하지 않는 경우 취약점 영향 없음
2. 주요 내용
- Apache Log4j 2에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)
- Apache Log4j 2에서 발생하는 서비스 거부 취약점(CVE-2021-45046, CVE-2021-45105)
- Apache Log4j 1.2에서 발생하는 원격코드 실행 취약점(CVE-2021-4104)
3. 서버 제품군
- ASM(ALYac Security Manager) / 문서중앙화(SecureDisk/InternetDisk) 제품군 취약점 해당사항 없음
※ ASM(ALYac Security Manager) 하위 버전 제품의 경우 다른 보안 위협에 노출될 수 있으므로 최신 버전으로 업그레이드 적용을 권장드립니다.
4. 문의사항
- 알약기술지원(1544-9744 / ARS 1번)
- 문서중앙화 기술지원(1544-3796)
- 기타 문의사항 이스트소프트 영업본부(1544-9744 / ARS 2번)
※ 참고 사이트
[이스트시큐리티 : 알약블로그] [긴급] Apache Log4j 보안 취약점 대응 방안 안내
[한국인터넷진흥원 보안권고문] Apache Log4j 보안 업데이트 권고
※ 참고 : 이스트시큐리티 지원 종료 제품
https://www.estsecurity.com/enterprise/buy/expired
제품명 | 버전 | 판매종료일 | A/S 종료일 | 엔진종료일 |
---|---|---|---|---|
알약(기업/기관용) | 3.x | 2021년 3월 | 2022년 3월 | 2022년 3월 |
알약 서버 | 3.x | 2021년 3월 | 2022년 3월 | 2022년 3월 |
ASM | 3.x | 2021년 3월 | 2022년 3월 | 2022년 3월 |