안녕하세요? 

이스트시큐리티입니다. 

최근 Logback 1.2.7 버전에 설정 파일을 수정할 수 있는 권한이 있는 공격자가 LDAP 서버에서 악의적인 코드를 실행할 수 있는 취약점이 발견되었습니다. [CVE-2021-42550] ​

그에 따라서, logback 최신 업데이트가 2021년 12월 16일에 1.2.9 릴리즈 되었습니다. 

당사는 최근 Log4j 취약점에 영향이 없지만, Logback 취약점에 유의깊게 모니터링 중이며 최신 릴리즈 버전을 정기 패치에 적용하여 출시하기 위하여 준비 중에 있습니다. 

 - 출시 일정: 2021.12.24 

(QA 등으로 일정이 변경될 수 있습니다.) 

※ Logback 취약점은 설정 파일에 대한 쓰기 권한이 할당되어야 하기 때문에 Log4j의 취약점과 Logback의 취약점 심각도는 상호 차이가 있습니다. 

기타 제품 및 기술지원 문의사항은 알약기술지원(1544-9744 / ARS 1번), 문서중앙화 기술지원(1544-3796), 이스트소프트 영업본부(1544-9744 / ARS 2번)로 문의 바랍니다. 

* Logback Release 정보​