Table of Contents
LOG4J 보안 취약점에 따른 MCCS 영향도 #
- 로그를 남기기 위해 사용되는 자바 기반의 오픈소스인 Log4j에서 발생하는 취약점으로 Apache 소프트웨어 재단은 보안 업데이트를 권고하고 있습니다. 맨텍의 MCCS 는 아래와 같이 대응이 가능합니다.
1. 발표 된 보안취약 사항 #
| 발표 날짜 (수정발표 날짜) | 라이브러리 | CVE ID | 보안공지 원본 |
|---|---|---|---|
| 2021.12.11 (2021.12.22) | Log4j | CVE-2021-4104 CVE-2021-44228 CVE-2021-45046 | 관련 내용 링크 |
| 2021.12.18 (2022.01.03) | Log4j | CVE-2021-45105 CVE-2021-44832 | 관련내용 링크 |
2. 맨텍 MCCS 제품별 대응 방안 #
| MCCS 버전 | Log4j 버전 | 취약점 | 취약점 여부 | 대응방안 |
|---|---|---|---|---|
| 4.x ~ 4.4.7 | Log4J 1.2 | CVE-2021-4104 | 취약점 영향 없음 | 조치 필요 없음 ( JMSAppender, JMSSink, JDBCAppender, Chainsaw 미사용 ) |
| 4.4.8 ~ 4.4.9.2 | Log4j 2.13 | 1.CVE-2021-44228 2.CVE-2021-44832 3.CVE-2021-450464.CVE-2021-45105 | 1.취약점 영향 2.취약점 영향 3.취약점 영향4.취약점 영향 없음 | 1 ~ 3 : 조치 필요 – MCCS 업그레이드로 해결 (Log4J 2.17.1 적용) * MCCS는 취약 클래스들을 미사용 하나 클래스 자체는 존재하므로 제거가 필요하다면, 업그레이드 필요 4. 조치 필요 없음 ( ${ctx:loginId}, $${ctx:loginId} 미사용 ) |
| 4.4.9.3 ~ | Log4j 2.17.1 | N/A | 취약점 영향 없음 | 조치 필요 없음 |
MCCS Version 확인 방법 #
– GUI ( MCCS Console )
- MCCS 콘솔 -> 도움말 -> MCCS 관하여
– CLI ( command 방식 )
- MCCS CLI ( Window )
- command 창 실행
- cd %MCCS_HOME% 실행
- mccluster -version 실행
- MCCS CLI (linux)
- cd $MCCS_HOME
- mccluster -version 실행
log4j 버전 확인 #
- Window
- cd %MCCS_HOME%/bin/plugins
- org.apache.logging.log4j.api_x.xx.x.jar 파일 확인
- Linux
- cd $MCCS_HOME/bin/plugins
- org.apache.logging.log4j.api_x.xx.x.jar 파일 확인