1. 취약점 개요

- Apache Log4j는 프로그램을 작성하는 도중에 로그를 생성하는 자바 기반 오픈소스 유틸리티입니다. 

- 본 취약점에 영향받는 Apache Log4j 버전은 

ㅇ CVE-2021-44228 : 2.0-beta9 ~ 2.14.1 버전 (Log4j 2.12.2 제외) 

ㅇ CVE-2021-45046 : 2.0-beta9 ~ 2.12.1 및 2.13.0 ~ 2.15.0 버전 

ㅇ CVE-2021-45105 : 2.0-beta9 ~ 2.16.0 버전

ㅇ CVE-2021-4104 : 1.2 버전

에 해당되며 취약점을 이용하여 악성코드 감염 등의 피해를 발생시킬 수 있습니다. 

※ Apache Log4j 1.2의 경우 JMSAppender를 사용하지 않는 경우 취약점 영향 없음

2. 주요 내용 

- Apache Log4j 2에서 발생하는 원격코드 실행 취약점(CVE-2021-44228) 

- Apache Log4j 2에서 발생하는 서비스 거부 취약점(CVE-2021-45046, CVE-2021-45105) 

- Apache Log4j 1.2에서 발생하는 원격코드 실행 취약점(CVE-2021-4104)

3. 서버 제품군 

- ASM(ALYac Security Manager) / 문서중앙화(SecureDisk/InternetDisk) 제품군 취약점 해당사항 없음

※ ASM(ALYac Security Manager) 하위 버전 제품의 경우 다른 보안 위협에 노출될 수 있으므로 최신 버전으로 업그레이드 적용을 권장드립니다.

4. 문의사항 

- 알약기술지원(1544-9744 / ARS 1번)

- 문서중앙화 기술지원(1544-3796) 

- 기타 문의사항 이스트소프트 영업본부(1544-9744 / ARS 2번)

※ 참고 사이트

[이스트시큐리티 : 알약블로그] [긴급] Apache Log4j 보안 취약점 대응 방안 안내

[한국인터넷진흥원 보안권고문] Apache Log4j 보안 업데이트 권고 

​

※ 참고 : 이스트시큐리티 지원 종료 제품

https://www.estsecurity.com/enterprise/buy/expired​