Symptoms
- Apache 소프트웨어 재단은 자사의 Log4j 에서 발생하는 취약점을 해결한 보안 업데이트 권고
- 공격자는 해당 취약점을 이용하여 악성코드 감염 등의 피해를 발생시킬수 있으므로, 최신 버전으로 업데이트 권고
Environment
- Windows, Linux 환경공통
- Apache Log4J 환경공통
- MCCS 버전별 Log4J 취약 현황
MCCS 버전Log4J 버전취약점취약 여부대응 방안
4.x ~ 4.4.7
Log4J 1.2
CVE-2021-4104취약점 영향 없음( JMSAppender , JMSSink미사용 )
조치 필요 없음
4.4.8 ~ 4.4.9.2
Log4J 2.13CVE-2021-44228취약점 영향 있음조치 필요- MCCS 업그레이드로 해결 (Log4J 2.17.1 적용)※ 서비스 다운타임 필요 (고객 운영 서비스 다운 필요)CVE-2021-45046취약점 영향 있음CVE-2021-44832취약점 영향 있음
CVE-2021-45105취약점 영향 없음( ${ctx:loginId}, $${ctx:loginId} 미사용 )
조치 필요 없음
4.4.9.3
Log4J 2.17.1
–
취약점 영향 없음
조치 필요 없음
Cause
- Apache 소프트웨어 재단의 Log4J 보안 취약점 사태
발표날짜(수정날짜)
종류
취약점
KISA 보안공지
2021.12.11(2021.12.22)
Log4J CVE-2021-4104
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389 CVE-2021-44228CVE-2021-450462021.12.18(2022.01.03)Log4JCVE-2021-45105
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36397 CVE-2021-44832
Solution
1. MCCS 버전 확인방법
– MCCS 버전이 “4.4.8 ~ 4.4.9.2”인 경우만 업그레이드 필요
| 운영체제 | 명령어 | 수행결과 |
| Windows | cd %MCCS_HOME%\binmccluster -version | |
| Linux | cd $MCCS_HOME/binmccluster -version |  |
2. MCCS 업그레이드
– 맨텍 서비스센터 (1833-7790)를 통해 업그레이드 방법 및 절차 확인 필요
※ 업그레이드 작업은 서비스 다운타임 필요 (고객 운영 서비스 다운 필요)
