¿ÀǼҽº °ü¸® Àü¹® ±â¾÷ ÄïÅØ ÁÖ½Äȸ»ç´Â ¿ÀǼҽº ÅëÇÕ °ü¸® ¼Ö·ç¼ÇÀÎ ÈÀÌÆ®¼Ò½º(WhiteSource)À¸·Î ·Î±×4j(Log4j) º¸¾È Ãë¾àÁ¡¿¡ ´ëÇÑ ÀÚµ¿ ŽÁö ¹× ¼öÁ¤»çÇ×À» Á¦°øÇÑ´Ù°í ¹àÇû´Ù.
Áö³ 12¿ù 10ÀÏ°ú 15ÀÏ, ·Î±×4j¿Í °ü·ÃµÈ º¸¾È Ãë¾àÁ¡(CVE-2021-44228°ú ÈÄ¼Ó Ãë¾àÁ¡(CVE-2021-45046)ÀÌ ¿¬ÀÌ¾î ¹ß°ßµÇ¾ú´Ù. ·Î±×4j´Â ÀÎÅÍ³Ý ¼ºñ½º ¿î¿µ, À¯Áö °ü¸®, ÇÁ·Î±×·¥ ÀÛ¼º °úÁ¤ÀÇ ¸ðµç ±â·ÏÀ» °ü¸®Çϱâ À§ÇØ »ç¿ëµÇ´Â ÀÚ¹Ù(Java) ±â¹ÝÀÇ ¿ÀǼҽº ·Î±ë À¯Æ¿¸®Æ¼´Ù.
·Î±×4½©(Log4shell)À̶ó°í ºÒ¸®´Â ÇØ´ç Ãë¾àÁ¡Àº ¾ÇÀÇÀûÀÎ °ø°ÝÀÚ°¡ º¸¾È ¾÷µ¥ÀÌÆ®°¡ Àû¿ëµÇÁö ¾ÊÀº ¾ÆÆÄÄ¡ ·Î±×4j ¹öÀü¿¡¼ ±¸¼º, ·Î±× ¸Þ½ÃÁö, ¸Å°³º¯¼ö¿¡ »ç¿ëµÇ´Â JNDI(Java Naming and Directory Interface) ±â´ÉÀ» Á¦¾îÇÒ ¼ö ÀÖµµ·Ï ÇÏ¿© LDAP ¹× ±âŸ JNDI °ü·Ã ¿£µåÆ÷ÀÎÆ®¸¦ º¸È£ÇÒ ¼ö ¾ø°Ô µÈ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â JNDI ·è¾÷(Lookup) ÆÐÅÏÀ» »ç¿ëÇÏ¿© ¾ÇÀÇÀûÀÎ ÀÔ·Â µ¥ÀÌÅ͸¦ Á¶ÀÛÇÏ¿© ¼ºñ½º °ÅºÎ(DoS, Denial of Service)À» ¼öÇàÇÒ ¼ö ÀÖ´Ù. ÀÌ¿Í °°Àº ¿ÀǼҽº º¸¾È Ãë¾àÁ¡ÀÇ °æ¿ì ¿ÀǼҽº¿Í ¿ÀǼҽº »çÀÌÀÇ Á¾¼Ó¼ºÀ¸·Î ÀÎÇÏ¿© ¼öµ¿À¸·Î °ü·Ã Ãë¾àÁ¡À» ½Äº°ÇÏ°í ¼öÁ¤ÇÏ´Â °ÍÀÌ ºÒ°¡´ÉÇÏ´Ù.
¿ÀǼҽº ÅëÇÕ °ü¸® ¼Ö·ç¼ÇÀÎ ÈÀÌÆ®¼Ò½º(WhiteSource)´Â SaaS ±â¹Ý º¸¾È Ãë¾àÁ¡ µ¥ÀÌÅͺ£À̽º¸¦ ÅëÇØ ÀÚµ¿À¸·Î ÇØ´ç Ãë¾àÁ¡À» ŽÁöÇÏ°í ¼öÁ¤ ±Ç°í »çÇ×À» Á¦°øÇÑ´Ù. ÈÀÌÆ®¼Ò½º´Â ·Î±×4½© Ãë¾àÁ¡ÀÌ º¸°íµÇ±â Àü¿¡ ½É°¢µµ°¡ ³ôÀº Ãë¾àÁ¡ °æ°í¿¡ ´ëÇÑ Á¤Ã¥ ¼³Á¤À» ¸¶Ä£ °æ¿ì¶ó¸é, ¶óÀ̺귯¸®¿¡ ´ëÇÑ Á÷°£Á¢ Á¾¼Ó¼ºÀ» ÅëÇØ ÇØ´ç Ãë¾àÁ¡ÀÇ ¿µÇâÀ» ¹Þ´Â °æ¿ì¿¡ ÀÚµ¿À¸·Î ¾Ë¶÷À» Á¦°øÇÑ´Ù. ½É°¢µµ°¡ ³ôÀº Ãë¾àÁ¡¿¡ ´ëÇØ º°µµÀÇ Á¤Ã¥À» ¼³Á¤ÇÏÁö ¾ÊÀº °æ¿ì¶ó¸é, ÈÀÌÆ®¼Ò½º UI¿¡¼ Á÷Á¢ Ãë¾àÁ¡ º¸°í¼¸¦ È®ÀÎÇÏ¿© Á¦Ç° ¶Ç´Â ÇÁ·ÎÁ§Æ®¿¡ ¹ÌÄ¡´Â ¿µÇâÀ» È®ÀÎÇÏ°í ¿ÏÈ Á¤Ã¥À» ¼öÇàÇÒ ¼ö ÀÖ´Ù.
ƯÈ÷ À̹ø ·Î±×4j Ãë¾àÁ¡°ú °ü·ÃÇÏ¿© ÈÀÌÆ®¼Ò½º´Â ±êÇãºê(Github)¸¦ ÅëÇØ ¹«·á µµ±¸ÀÎ ÈÀÌÆ®¼Ò½º ·Î±×4j µðÅØÆ®(WhiteSource Log4j Detect)¸¦ Á¦°øÇÏ¿© Äڵ庣À̽ºÀÇ Ãë¾àÁ¡ ¿Ïȸ¦ Áö¿øÇÑ´Ù. À̸¦ ÅëÇØ ±âÁ¸ÀÇ ¿ÀǼҽº ÇÁ·ÎÁ§Æ®¸¦ ºü¸£°Ô ½ºÄµÇÏ¿© Ãë¾àÇÑ ·Î±×4jÀÇ ¹öÀü°ú °æ·Î¸¦ ½Äº°ÇÒ ¼ö ÀÖ´Ù.
|
[´º½º] Àμ½½ÃÅ¥¸®Æ¼, ¸¶±×³Ý ±×·¹ÀÌÅ° ÆнºÆ®Æ®·¢ Ãâ½Ã 
