Offcanvas

������������������������������������

역대급 보안구멍 ‘로그4j’ 막아라···개발자들의 고군분투기

지난 주말, 많은 개발자와 유지관리자가 앞다퉈 ‘로그4j(Log4j)’ 취약점에 대응하기 위해 나섰지만 이 문제를 바로잡기 위해 해야 할 일은 여전히 많다.  지난 주말 인터넷에 불이 났다. 긴급구조요원들은 곧장 현장으로 달려갔다. 대부분 무급 유지관리자 또는 개발자가 여가 시간에 취약점을 패치했고, 지침을 발행했으며, 혼란 속에서 절실하게 필요했던 명확성을 제공했다.    12월 9일 아파치 재단(Apache Foundation)은 거의 모든 자바 애플리케이션에 사용되는 오픈소스 로깅 프레임워크 ‘로그4j(Log4j)’에서 발견된 치명적인 제로데이 취약점 ‘로그4셸(Log4Shell)’에 관한 긴급 업데이트를 발표했다.  CVE-2021-44228로 식별된 이 버그를 통해 공격자는 로그4j 라이브러리를 사용하여 로그 메시지를 작성하는 모든 시스템에서 임의의 코드를 실행할 수 있다. 이는 CVSS 점수에서 가장 높은 심각도를 일컫는 10점을 받았다.  클라우드플레어(Cloudflare)의 CTO 존 그레이엄은 “허트블리드(Heartbleed)와 쉘쇼크(ShellShock) 이후로 인터넷에서 가장 심각한 취약점일 가능성이 크다”라고 말했다. 심지어 마인크래프트(Minecraft)도 안전하지 않았다. 최초 대응자 여러 개발자와 유지관리자가 주말 동안 최대한 많은 자바 애플리케이션을 패치하기 위해 즉시 출동했다. 첫 번째 방어선은 비영리 아파치 소프트웨어 재단의 로깅 서비스팀에서 유지관리하는 로그4j 자체였다. 아파치의 로깅 서비스팀은 전 세계의 거의 모든 시간대에 분산된 16명의 자원봉사자로 구성돼 있다. 소프트웨어 엔지니어 겸 아파치 로깅 서비스 프로젝트 관리 위원회(Project Management Committee; PMC)의 회원인 개리 그레고리는 “여가 시간에 소프트웨어를 작성하고 퍼즐을 푸는 것을 좋아하기 때문에 이 일을 한다”라고 언급했다.  PMC의 주된 의사소통 채널은 이메일이며,...

로그4j 로그포셸 자바 보안 취약점 보안 위협 아파치 재단 제로데이 취약점 자바 애플리케이션 핫패치

2021.12.20

지난 주말, 많은 개발자와 유지관리자가 앞다퉈 ‘로그4j(Log4j)’ 취약점에 대응하기 위해 나섰지만 이 문제를 바로잡기 위해 해야 할 일은 여전히 많다.  지난 주말 인터넷에 불이 났다. 긴급구조요원들은 곧장 현장으로 달려갔다. 대부분 무급 유지관리자 또는 개발자가 여가 시간에 취약점을 패치했고, 지침을 발행했으며, 혼란 속에서 절실하게 필요했던 명확성을 제공했다.    12월 9일 아파치 재단(Apache Foundation)은 거의 모든 자바 애플리케이션에 사용되는 오픈소스 로깅 프레임워크 ‘로그4j(Log4j)’에서 발견된 치명적인 제로데이 취약점 ‘로그4셸(Log4Shell)’에 관한 긴급 업데이트를 발표했다.  CVE-2021-44228로 식별된 이 버그를 통해 공격자는 로그4j 라이브러리를 사용하여 로그 메시지를 작성하는 모든 시스템에서 임의의 코드를 실행할 수 있다. 이는 CVSS 점수에서 가장 높은 심각도를 일컫는 10점을 받았다.  클라우드플레어(Cloudflare)의 CTO 존 그레이엄은 “허트블리드(Heartbleed)와 쉘쇼크(ShellShock) 이후로 인터넷에서 가장 심각한 취약점일 가능성이 크다”라고 말했다. 심지어 마인크래프트(Minecraft)도 안전하지 않았다. 최초 대응자 여러 개발자와 유지관리자가 주말 동안 최대한 많은 자바 애플리케이션을 패치하기 위해 즉시 출동했다. 첫 번째 방어선은 비영리 아파치 소프트웨어 재단의 로깅 서비스팀에서 유지관리하는 로그4j 자체였다. 아파치의 로깅 서비스팀은 전 세계의 거의 모든 시간대에 분산된 16명의 자원봉사자로 구성돼 있다. 소프트웨어 엔지니어 겸 아파치 로깅 서비스 프로젝트 관리 위원회(Project Management Committee; PMC)의 회원인 개리 그레고리는 “여가 시간에 소프트웨어를 작성하고 퍼즐을 푸는 것을 좋아하기 때문에 이 일을 한다”라고 언급했다.  PMC의 주된 의사소통 채널은 이메일이며,...

2021.12.20

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.8