목차
Apache Log4j 취약점 개요
Apache Log4j 취약점(CVE-2021-44228)가 공개되었습니다. 전 세계의 1/3 서버에서 영향이 나올 것으로 추정되고 있습니다 (12/15 WBS에서).
유저의 입력치나 정보를 로그에 출력하는 시스템에 있어서, 악의 있는 외부 유저가 공격을 실시했을 경우에 리모트 코드가 실행될 가능성이 있다고 하는 것입니다.
업데이트: 12/23
12/15 이후 대책이 끝났습니다만, 날마다 IPA 그 외로부터 추가 대응이 필요하다고 하는 정보도 있어 착綜하고 있습니다. 당사는 Log4j의 최신 업데이트 외에 근본 원인인 JndiLookup 클래스를 클래스 패스에서 삭제 등 모든 대책을 망라적으로 대응하고 있습니다.
12/15 이후 대책이 끝났습니다만, 날마다 IPA 그 외로부터 추가 대응이 필요하다고 하는 정보도 있어 착綜하고 있습니다. 당사는 Log4j의 최신 업데이트 외에 근본 원인인 JndiLookup 클래스를 클래스 패스에서 삭제 등 모든 대책을 망라적으로 대응하고 있습니다.
영향을 받는 당사 제품과 대응
Chat&Messenger 데스크톱, 웹 앱, 모바일 앱
영향 없음 (과거 버전 포함 해당 라이브러리 사용 없음)
온프레미스 CAMserver
온프레미스 CAMserver에서 비디오 서버 시작그렇다면 해당됩니다.
웹 회의의 비디오 서버에 해당 라이브러리의 종속성이 있었지만 사용자 정보를 로그에 출력하는 처리는 해당 없음입니다. 시스템 담당자에게 안내가 끝나고, 버전 업 등 대응을 서포트해 갑니다.
Chat&Messenger 클라우드 서버
당사 클라우드의 웹 회의용 비디오 서버에서 해당 라이브러리의 종속성이 있었습니다만, 사용자 정보를 로그에 출력하는 처리는 해당 없음입니다.
12/14에 비디오 서버에 업데이트가 반영되었습니다.