Log4j 보안 권고 - 원격 코드 실행에 취약 - CVE-2021-44228
- 이병욱
요약 | CVE-2021-44228 - 원격 코드 실행에 취약한 Log4j |
|---|---|
권고 릴리스 날짜 | 2021. 12. 13 23:45 UTC(협정 세계시, +0시간) |
CVE ID | CVE-2021-44228 |
취약점 요약
여러 Atlassian 제품에서 타사 Log4j 라이브러리를 사용하며 이 라이브러리는 CVE-2021-44228에 취약합니다.
구성, 로그 메시지 및 매개변수에 사용되는 Log4j2 <=2.14.1 JNDI 기능은 공격자가 제어하는 LDAP 및 기타 JNDI 관련 엔드포인트로부터 보호되지 않습니다. 메시지 조회 대체가 활성화된 경우 로그 메시지 또는 로그 메시지 매개 변수를 제어할 수 있는 공격자는 LDAP 서버에서 로드된 임의 코드를 실행할 수 있습니다.
클라우드 제품에 미치는 영향
이 취약성은 이전에 Log4j의 취약한 버전을 사용한 모든 Atlassian 클라우드 제품에 대해 완화되었습니다. 현재까지 분석 결과 이러한 시스템을 패치하기 전에 Atlassian 시스템 또는 고객 데이터가 손상된 것으로 확인되지는 않았습니다. Atlassian 고객은 취약하지 않으므로 작업이 필요하지 않습니다.
온프레미스 제품에 미치는 영향
Bitbucket 서버 및 데이터 센터
Bitbucket Server & Data Center는 번들로 제공되는 필수 소프트웨어인 Elasticsearch를 통해 CVE-2021-44228에 취약합니다. Elastic 보안 권고 ESA-2021-31에 따라 Elasticsearch는 원격 코드 실행의 영향을 받지 않지만 정보 유출이 잠재적인 영향을 미칩니다. 정보 유출 위험을 완화하기 위한 조치가 필요한지 확인하려면 아래 표를 참조하십시오.
버전 | 취약점 기준 | 액션 |
|---|---|---|
Elasticsearch의 번들 버전 (즉 , Elasticsearch의 별도 인스턴스를 직접 설정 하지 않은 경우 ) | 2021. 12. 15 이전에 릴리스된 모든 Bitbucket 버전 :
Elastic 보안 권고 ESA-2021-31에 따라 원격 코드 실행이 완화되지만 정보 유출이 여전히 적용될 수 있습니다. | Linux/MacOS의 경우:
Windows의 경우:
|
Elasticsearch의 외부 버전 | 클러스터 구성에서 실행할 때는 Bitbucket과 함께 번들된 Elasticsearch 버전을 사용하면 안 됩니다. 데이터 센터 클러스터 고객은 Bitbucket Data Center와 별도로 고유한 Elasticsearch 설치를 설치하고 관리해야 합니다. 데이터 센터 에디션을 사용하는 고객은 Elastic Security Advisory ESA-2021-31을 참조하여 CVE-2021-44228을 완화하기 위한 조치가 필요한지 판단해야 합니다. | 고객에게 Elasticsearch의 지침을 따르도록 권장하지만 다음 사항에 유의합니다.
|
Bitbucket 서버 및 데이터 센터 보안 수정 사항
Bitbucket Server & Data Center의 CVE-2021-44228에 업데이트를 적용하려면 취약하지 않은 버전으로 업그레이드하십시오.
6.10.16
7.6.12
7.14.2
7.15.3
7.16.3
7.17.4
7.18.3
7.19.1
다운로드 페이지에서 위의 버전을 찾아 Bitbucket Server 업그레이드 가이드에 설명된 단계에 따라 업그레이드를 완료하십시오.
번들 버전 - 수동 완화
업데이트된 버전의 Bitbucket을 설치할 수 없고 번들 Elastic Search를 실행 중인 경우 Elastic 보안 권고 ESA-2021-31에 따라 다음을 변경하십시오 :
가장 간단한 업데이트 적용은 JVM 옵션 -Dlog4j2.formatMsgNoLookups=true를 설정하고 클러스터의 각 노드를 다시 시작하는 것입니다.
Elasticsearch 5.6.11+, 6.4+ 및 7.0+의 경우 RCE 및 정보 유출 공격으로부터 완벽하게 보호합니다.
$BITBUCKET_HOME/shared/search/jvm.options 파일 맨 아래에 다음 줄을 추가한 후 Bitbucket을 다시 시작합니다.
-Dlog4j2.formatMsgNoLookups=true일부 Bitbucket 버전에 사용되지 않는 log4j-core가 있습니다.
Bitbucket 버전 7.12 ~ 7.19에는 사용되지 않은 log4j-core 구성 요소가 포함되어 있습니다 . Bitbucket은 Log4j가 아닌 Logback을 사용하기 때문에 위험하지 않지만, 의심을 피하기 위해 Log4j 구성 요소를 제거하기 위한 업데이트가 로깅에 제공되었습니다.
기타 Atlassian 온프레미스 제품은 CVE-2021-44228에 취약하지 않습니다 .
일부 온프레미스 제품은 CVE-2021-44228에 취약하지 않은 Log4j 1.2.17의 Atlassian 유지보수 포크를 사용합니다. 우리는 이 포크에 대한 추가 분석을 수행했으며 신뢰할 수 있는 당사자만 악용할 수 있는 새롭고 유사한 취약점을 확인했습니다. 이러한 이유로 Atlassian은 온프레미스 제품의 심각도 수준을 낮음으로 평가 합니다. 특히 Log4j 1.x를 사용하는 Atlassian 제품은 다음과 같은 기본 구성이 아닌 구성이 모두 설정된 경우에만 영향을 받습니다.
JMS Appender는 응용 프로그램의 Log4j 구성에서 구성됩니다.
javax.jmsAPI는 응용 프로그램의CLASSPATH에 포함되어 있습니다.JMS Appender가 제3자에 대한 JNDI 조회로 구성되었습니다.
참고: 신뢰할 수 있는 사용자가 응용 프로그램의 구성을 수정하거나 런타임에 속성을 설정하는 방법만 사용할 수 있습니다.
다음 제품은 Log4j 1.2.17의 Atlassian에서 유지 관리되는 포크를 사용합니다.
Bamboo Server and Data Center
Confluence Server and Data Center
Crowd Server and Data Center
Fisheye / Crucible
Jira Server and Data Center
Atlassian Marketplace의 앱에 미치는 영향
클라우드 앱
Atlassian이 Connect 및 Forge와 같은 앱 개발을 위해 파트너와 공유하는 도구는 CVE-2021-44228에 취약하지 않습니다. 또한 Atlassian이 개발한 클라우드 앱 중 취약점이 있는 앱도 없습니다. Atlassian은 지속적으로 타사 클라우드 앱을 적극적으로 스캔하고 검토하여 취약한지 확인합니다. 지금까지 우리는 취약한 소수의 앱을 식별했습니다. 상황을 지속적으로 모니터링하고 검토에 공백이 없는지 확인하기 위해 앞으로 며칠 동안 더 많은 검사와 확인을 실행할 것입니다.
이러한 상황의 심각성을 감안할 때 취약한 각 앱은 문제가 발견되는 즉시 문제를 해결해야 합니다. Atlassian은 문제를 해결하지 않는 앱을 일시 중지하고 취약한 앱이 설치된 고객에게 알립니다.
데이터 센터 및 서버 앱
Atlassian은 또한 데이터 센터와 서버 앱을 스캔하고 검토하고 있습니다. 클라우드 앱과 마찬가지로 Atlassian은 CVE-2021-44228에 취약한 Atlassian에서 개발한 앱은 아직 검색하지 못했지만 취약한 타사 앱은 식별했습니다. 취약한 각 DC 또는 서버 앱에는 클라우드 앱과 동일한 신속 마감일이 주어집니다. 이 신속한 기간 내에 취약점을 해결하지 못하는 DC 및 서버 앱은 Marketplace에서 제거되며, Atlassian은 취약한 앱이 설치된 고객에게 알릴 것입니다.
마지막으로 Atlassian은 CVE-2021-44228에 취약한 모든 클라우드, DC 및 서버 앱이 공유 암호를 순환하고 상황을 완화하려는 노력에 대해 고객과 직접 커뮤니케이션하도록 권장하고 있습니다.
참고문헌
Support
이 권고와 관련하여 질문이나 우려 사항이 있는 경우 CVE-2021-44228에 대한 FAQ를 확인하거나 https://support.atlassian.com/에서 지원 요청을 제출하십시오.