반응형
안녕하세요
앵과장입니다.
2021년 12월 10일 Log4j 관련된 보안 취약점이 이슈가 되었습니다.
우리나라는 주력 JAVA언어로 개발된 서비스플랫폼이 많다보니 크리티컬한 이슈가 될수밖에 없는것 같은데요?!
Apache Log4j 2 CVE-2021-44228 알려진 정보
해당문제점은 상당히 크리티컬 하고 CVSS 10.0이라는 이슈가 있습니다.
CVSS란?
Common Vulnerabilities Scoring System 약자로 취약점에 점수를 측정해 심각도를 객관적으로 판단할수 있는 자료가 된다고합니다.
CVSS 시스템은 ‘CVSS 분과회(CVSS Special Interest Group)’에서 관리하는 것으로, “취약점의 가장 중요한 특성을 이해하고, 그것에 수치로 된 점수를 부여함으로써 심각성을 표기하는” 서비스를 제공한다. 점수는 다음과 같이 크게 네 가지로 분류됩니다.
1) 저위험군 : 0.1~3.9점
2) 중위험군 : 4.0~6.9점
3) 고위험군 : 7.0~8.9점
4) 치명적 위험군 : 9.0~10.0점
Log4j 란
Log for Java
로그문의 출력을 다양한 대상으로 할수 있도록 도와주는 라이브러리 입니다.
https://logging.apache.org/log4j/2.x/
Log4j – Apache Log4j 2