LOG4J2 취약점에 따른 MCCS 영향도

12월 20, 2021
Category: MCCS

LOG4J 보안 취약점에 따른 MCCS 영향도

  • 로그를 남기기 위해 사용되는 자바 기반의 오픈소스인 Log4j에서 발생하는 취약점으로 Apache 소프트웨어 재단은 보안 업데이트를 권고하고 있습니다.  맨텍의 MCCS 는 아래와 같이 대응이 가능합니다.

1. 발표 된 보안취약 사항

발표 날짜
(수정발표 날짜)
라이브러리 CVE ID 보안공지 원본
2021.12.11
(2021.12.17)
Log4j
CVE-2021-4104
CVE-2021-44228
CVE-2021-45046
2021.12.18
Log4j
CVE-2021-45105

2. 맨텍 MCCS 제품별 대응 방안

MCCS 버전 Log4j 버전 취약점 취약점 여부 대응방안
4.x ~ 4.4.7
Log4J 1.2
CVE-2021-4104
취약점 영향 없음
조치 필요 없음

( JMSAppender 미사용 )

4.4.8 ~ 4.4.9.1
Log4j 2.13
1.CVE-2021-44228
2.CVE-2021-45046

3.CVE-2021-45105
1.취약점 영향
2.취약점 영향

3.취약점 영향 없음
1 & 2. JndiLookup 클래스를 경로에서 제거

- MCCS 패치 적용 필요 / ( 다운타임 없음 )

3. 조치 필요 없음

( ${ctx:loginId}, $${ctx:loginId} 미사용 )

4.4.9.2 ~
(12월중 발행 예정)
Log4j 2.17
N/A
취약점 영향 없음
조치 필요 없음

– GUI ( MCCS Console )

  • MCCS 콘솔 -> 도움말 -> MCCS 관하여 

– CLI ( command 방식 )

  • MCCS CLI ( Window ) 
    • command 창 실행
    • cd %MCCS_HOME% 실행
    • mccluster -version 실행
  • MCCS CLI (linux)
    • cd $MCCS_HOME 
    • mccluster -version 실행 
  • Window
    • cd %MCCS_HOME%/bin/plugins 
    • org.apache.logging.log4j.api_x.xx.x.jar 파일 확인
  • Linux
    • cd $MCCS_HOME/bin/plugins 
    • org.apache.logging.log4j.api_x.xx.x.jar 파일 확인
  • 패치 적용 방법

              1. 아래 첨부된 압축파일 다운로드 후 해제 (Windows, Linux 서버용 구분)
                   (압축 파일 저장 및 해제 위치는 어느 곳이어도 상관 없음)

              2. MCCS 콘솔 실행 후 그룹 잠금

              3. 패치 실행
                   – Windows 서버의 경우 administrator 권한을 가진 계정이 “관리자 권한”으로 실행해야 합니다.
                   – 그렇지 않은 경우 패치가 정상 동작 하지 않습니다.

              4. 그룹 잠금 해제     

※  MCCS 4.4.7 이하 버전은 해당 보안 취약점에 영향을 받지 않습니다만. log4j 관련 최신 버전으로의 upgrade가 필요하시면 MCCS 최신버전(4.4.9.2)에서는 Log4j 2.17으로 업그레이드 예정이니, 4.4.9.2 출시후 해당 버전으로 업그레이드 하시면 됩니다.(2021/12월말 출시 예정)

Log4j Patch File Download

filename
Windows: WIN_MCCS_PATCH_LOG4J.zip
linux : LINUX_MCCS_PATCH_LOG4J.zip
  • 클릭으로 다운로드 안될시 “다른이름으로 링크 저장” 하시면 됩니다.

Comments