<p>안녕하세요. 개방형 클라우드 플랫폼 센터입니다.<br /> <br /> 현재 PaaS-TA Application Platform에 사용되는 log4j 관련하여 보안취약점이 발표되었습니다.<br /> 아래의 내용을 확인하시어 즉시 조치하여 주시기 바랍니다.<br /> <br /> <strong>KISA 측에서 2021년 12월 15일자로 추가 취약점 항목(CVE-2021-45046, CVE-2021-4104)을 추가하여 공개함에 따라 기존 안내해 드렸던 조치 관련 대응방안 내용이 일부 수정&middot;추가되었으니 참고하시기 바랍니다.<br /> <br /> KISA 측에서 2021년 12월 18일자로 추가 취약점 항목(CVE-2021-45105)을 추가하여 공개함에 따라 기존 안내해 드렸던 조치 관련 대응방안 내용이 일부 수정&middot;추가되었으니 참고하시기 바랍니다.</strong><br /> <br /> =======================================<br /> <br /> □ 개요<br /> o Apache 소프트웨어 재단은 자사의 Log4j 2에서 발생하는 취약점을 해결한 보안 업데이트 권고[1]<br /> o 공격자는 해당 취약점을 이용하여 악성코드 감염 등의 피해를 발생시킬수 있으므로, 최신 버전으로 업데이트 권고<br /> <br /> □ 주요 내용<br /> o Apache Log4j 2*에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)[2]<br /> o Apache Log4j 2에서 발생하는 서비스 거부 취약점(CVE-2021-45046)[3]<br /> o Apache Log4j 1.x에서 발생하는 원격코드 실행 취약점(CVE-2021-4104)[4]<br /> o Apache Log4j 2에서 발생하는 서비스 거부 취약점(CVE-2021-45105)[5]<br /> &nbsp; &nbsp; ※ Log4j : 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티<br /> <br /> □ 영향을 받는 버전<br /> &nbsp;o CVE-2021-45105<br /> &nbsp; &nbsp;- 2.0-beta9 ~ 2.16.0 버전 (Log4j 2.12.3 제외)<br /> &nbsp;o CVE-2021-44228<br /> &nbsp; &nbsp;- 2.0-beta9 ~ 2.14.1 버전 (Log4j 2.12.2 제외)<br /> &nbsp;o CVE-2021-45046<br /> &nbsp; &nbsp;- 2.0-beta9 ~ 2.12.1 및 2.13.0 ~ 2.15.0 버전<br /> &nbsp;o CVE-2021-4104<br /> &nbsp; &nbsp;- 1.x 버전<br /> &nbsp; &nbsp; &nbsp; ※ JMSAppender를 사용하지 않는 경우 취약점 영향 없음<br /> <br /> * PaaS-TA에서 영향을 받는 버전은 다음과 같습니다.&nbsp;<br /> <br /> ----------------------------<br /> o paasta-deployment 5.6.3 이하 버전<br /> ----------------------------<br /> <br /> □ 영향을 받는 모듈<br /> o BOSH (UAA, Credhub)<br /> o PaaS-TA AP Core (UAA, Credhub, java-buildpack의 일부 모듈, php-buildpack의 일부 모듈)<br /> &nbsp; &nbsp; ※ java/php buildpack 취약점 조치 진행 중<br /> &nbsp; &nbsp; ※ java-buildpack의 AppDynamics Agent, New Relic Agent를 사용하지 않는 경우 취약점 영향 없음<br /> &nbsp; &nbsp; ※ php-buildpack의 AppDynamics Agent를 사용하지 않는 경우 취약점 영향 없음<br /> <br /> □ 해결방안<br /> o passta-deployment 5.6.0 ~ 5.6.4 사용 시<br /> &rarr; paasta-deployment 5.6.5 업데이트 (BOSH, PaaS-TA AP) : log4j 2.17 사용<br /> <br /> o passta-deployment 5.5.2 이하 버전 사용 시&nbsp;<br /> &rarr; paasta-deployment 5.6.5 업데이트 혹은 UAA와 Credhub를 설치된 버전에 맞춰 릴리즈 생성 후 릴리즈만 반영하여 업데이트 (BOSH, PaaS-TA AP)<br /> <br /> 업데이트 방법은 하단의 Github URL을 확인하시면 됩니다.<br /> <br /> [업데이트 방법]<br /> <a href="https://github.com/PaaS-TA/hotfix_notice/blob/master/log4j_CVE_hotfix_guide.md">https://github.com/PaaS-TA/hotfix_notice/blob/master/log4j_CVE_hotfix_guide.md</a><br /> <br /> 감사합니다.</p> <p>[참고사이트]<br /> [1] <a href="https://logging.apache.org/log4j/2.x/security.html">https://logging.apache.org/log4j/2.x/security.html</a><br /> [2] <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228">https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228</a><br /> [3] <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046">https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046</a><br /> [4] <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4104">https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4104</a><br /> [5] <a href="https://nvd.nist.gov/vuln/detail/CVE-2021-45105">https://nvd.nist.gov/vuln/detail/CVE-2021-45105</a></p> <p>&nbsp;</p> <p>&nbsp;</p> <p>&nbsp;</p>