[MCCS] Log4J 보안 취약점 대응방안

LOG4J 보안 취약점에 따른 MCCS 영향도 #

  • 로그를 남기기 위해 사용되는 자바 기반의 오픈소스인 Log4j에서 발생하는 취약점으로 Apache 소프트웨어 재단은 보안 업데이트를 권고하고 있습니다.  맨텍의 MCCS 는 아래와 같이 대응이 가능합니다.

1. 발표 된 보안취약 사항 #

발표 날짜
(수정발표 날짜)
라이브러리CVE ID보안공지 원본
2021.12.11
(2021.12.22)
Log4jCVE-2021-4104
CVE-2021-44228
CVE-2021-45046
관련 내용 링크
2021.12.18
(2022.01.03)
Log4jCVE-2021-45105
CVE-2021-44832
관련내용 링크

2. 맨텍 MCCS 제품별 대응 방안 #

MCCS 버전Log4j 버전취약점취약점 여부대응방안
4.x ~ 4.4.7Log4J 1.2CVE-2021-4104취약점 영향 없음조치 필요 없음
( JMSAppender, JMSSink, JDBCAppender, Chainsaw 미사용 )
4.4.8 ~ 4.4.9.2Log4j 2.131.CVE-2021-44228
2.CVE-2021-44832
3.CVE-2021-450464.CVE-2021-45105
1.취약점 영향
2.취약점 영향
3.취약점 영향4.취약점 영향 없음
1 ~ 3 : 조치 필요
– MCCS 업그레이드로 해결 (Log4J 2.17.1 적용)
* MCCS는 취약 클래스들을 미사용 하나
클래스 자체는 존재하므로 제거가 필요하다면,
업그레이드 필요

4. 조치 필요 없음
( ${ctx:loginId}, $${ctx:loginId} 미사용 )
4.4.9.3 ~Log4j 2.17.1N/A취약점 영향 없음조치 필요 없음

MCCS Version 확인 방법 #

– GUI ( MCCS Console )

  • MCCS 콘솔 -> 도움말 -> MCCS 관하여 

– CLI ( command 방식 )

  • MCCS CLI ( Window )
    • command 창 실행
    • cd %MCCS_HOME% 실행
    • mccluster -version 실행
  • MCCS CLI (linux)
    • cd $MCCS_HOME 
    • mccluster -version 실행 

log4j 버전 확인 #

  • Window
    • cd %MCCS_HOME%/bin/plugins 
    • org.apache.logging.log4j.api_x.xx.x.jar 파일 확인
  • Linux
    • cd $MCCS_HOME/bin/plugins 
    • org.apache.logging.log4j.api_x.xx.x.jar 파일 확인