Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

Version 1 Current »

Ref : https://confluence.atlassian.com/security/multiple-products-security-advisory-log4j-vulnerable-to-remote-code-execution-cve-2021-44228-1103069934.html

요약

CVE-2021-44228 - 원격 코드 실행에 취약한 Log4j

권고 릴리스 날짜

2021. 12. 13 23:45 UTC(협정 세계시, +0시간)

CVE ID

CVE-2021-44228

취약점 요약

여러 Atlassian 제품에서 타사 Log4j 라이브러리를 사용하며 이 라이브러리는 CVE-2021-44228에 취약합니다.

구성, 로그 메시지 및 매개변수에 사용되는 Log4j2 <=2.14.1 JNDI 기능은 공격자가 제어하는 ​​LDAP 및 기타 JNDI 관련 엔드포인트로부터 보호되지 않습니다. 메시지 조회 대체가 활성화된 경우 로그 메시지 또는 로그 메시지 매개 변수를 제어할 수 있는 공격자는 LDAP 서버에서 로드된 임의 코드를 실행할 수 있습니다.

클라우드 제품에 미치는 영향

이 취약성은 이전에 Log4j의 취약한 버전을 사용한 모든 Atlassian 클라우드 제품에 대해 완화되었습니다. 현재까지 분석 결과 이러한 시스템을 패치하기 전에 Atlassian 시스템 또는 고객 데이터가 손상된 것으로 확인되지는 않았습니다. Atlassian 고객은 취약하지 않으므로 작업이 필요하지 않습니다.

온프레미스 제품에 미치는 영향

Atlassian 온프레미스 제품은 CVE-2021-44228에 취약하지 않습니다 .

일부 온프레미스 제품은 CVE-2021-44228에 취약하지 않은 Log4j 1.2.17의 Atlassian 유지보수 포크를 사용합니다. 우리는 이 포크에 대한 추가 분석을 수행했으며 신뢰할 수 있는 당사자만 악용할 수 있는 새롭고 유사한 취약점을 확인했습니다. 이러한 이유로 Atlassian은 온프레미스 제품의 심각도 수준을  낮음으로 평가 합니다. 특히 Log4j 1.x를 사용하는 Atlassian 제품은 다음과 같은 기본 구성이 아닌 구성이 모두 설정된 경우에만 영향을 받습니다.

  • JMS Appender는 응용 프로그램의 Log4j 구성에서 구성됩니다.

  • javax.jmsAPI는 응용 프로그램의 CLASSPATH에 포함되어 있습니다.

  • JMS Appender가 제3자에 대한 JNDI 조회로 구성되었습니다.
    참고: 신뢰할 수 있는 사용자가 응용 프로그램의 구성을 수정하거나 런타임에 속성을 설정하는 방법만 사용할 수 있습니다.

다음 제품은 Log4j 1.2.17의 Atlassian에서 유지 관리되는 포크를 사용합니다.

  • Bamboo Server and Data Center

  • Confluence Server and Data Center

  • Crowd Server and Data Center

  • Fisheye / Crucible

  • Jira Server and Data Center

Atlassian Marketplace의 앱에 미치는 영향

클라우드 앱

Atlassian이 Connect 및 Forge와 같은 앱 개발을 위해 파트너와 공유하는 도구는 CVE-2021-44228에 취약하지 않습니다. 또한 Atlassian이 개발한 클라우드 앱 중 취약점이 있는 앱도 없습니다. Atlassian은 지속적으로 타사 클라우드 앱을 적극적으로 스캔하고 검토하여 취약한지 확인합니다. 지금까지 우리는 취약한 소수의 앱을 식별했습니다. 상황을 지속적으로 모니터링하고 검토에 공백이 없는지 확인하기 위해 앞으로 며칠 동안 더 많은 검사와 확인을 실행할 것입니다.

이러한 상황의 심각성을 감안할 때 취약한 각 앱은 문제가 발견되는 즉시 문제를 해결해야 합니다. Atlassian은 문제를 해결하지 않는 앱을 ​​일시 중지하고 취약한 앱이 설치된 고객에게 알립니다.

데이터 센터 및 서버 앱

Atlassian은 또한 데이터 센터와 서버 앱을 스캔하고 검토하고 있습니다. 클라우드 앱과 마찬가지로 Atlassian은 CVE-2021-44228에 취약한 Atlassian에서 개발한 앱은 아직 검색하지 못했지만 취약한 타사 앱은 식별했습니다. 취약한 각 DC 또는 서버 앱에는 클라우드 앱과 동일한 신속 마감일이 주어집니다. 이 신속한 기간 내에 취약점을 해결하지 못하는 DC 및 서버 앱은 Marketplace에서 제거되며, Atlassian은 취약한 앱이 설치된 고객에게 알릴 것입니다.

마지막으로 Atlassian은 CVE-2021-44228에 취약한 모든 클라우드, DC 및 서버 앱이 공유 암호를 순환하고 상황을 완화하려는 노력에 대해 고객과 직접 커뮤니케이션하도록 권장하고 있습니다.

참고문헌

Support

이 권고와 관련하여 질문이나 우려 사항이 있는 경우 CVE-2021-44228에 대한 FAQ를 확인하거나 https://support.atlassian.com/에서 지원 요청을 제출하십시오.

  • No labels