log4 2.0-beta9부터 2.16까지 2.12.3을 제외한 모든 버전에서 악용되는 취약점입니다.
심각도는 높음, Base CVSS Score는 7.5점입니다. (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
$${ctx:loginId}와 같은 재귀 문자열 이용하면 스택을 가득 채워서 서비스 거부 공격을 할 수 있습니다.
이런 문자열 같은거죠 - ${${::-${::-$${::-j}}}}
가장 좋은 방법은 2.17 버전으로 업그레이드 하는 것입니다.
아니면 아래 방법 중 하나로 완화할 수도 있습니다.
- 로깅 구성의 PatternLayout에서 ${ctx:loginId} 또는 $${ctx:loginId}와 같은 컨텍스트 조회를 스레드 컨텍스트 맵 패턴(%X, %mdc 또는 %MDC)으로 바꿉니다.
- 구성에서 ${ctx:loginId} 또는 $${ctx:loginId}와 같은 컨텍스트 조회에 대한 참조를 제거합니다. 여기서 HTTP 헤더 또는 사용자 입력과 같은 애플리케이션 외부 소스에서 시작됩니다.
log4-core JAR이 이 공격의 영향을 받습니다. log4-core가 없이 log4-api만 사용하는 경우에는 영향이 없습니다.
https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36397
국내기사
팡팡!에 당첨되어 30포인트를 보너스로 받으셨습니다.