Log4J 문제의 후속내용(업데이트재귀...?)

어찌어찌 개발자들이 달려붙어서 상황이 개선되고 있는 추세라고 한다. 기본적으로 일이 이렇게 커지게 된 이유는 오픈소스(사용료가 없는, 아무나 공유할 수 있는 소스)인 Log4J를 수없이 많은 기업들이 사용하고 있으며(심지어 자신이 이것을 사용하는지도 모르는 경우가 있다) 하나하나 업데이트를 하기에는 너무나 힘들기 때문이다.

 

Log4J 2.14버전에서 발견된 취약점(12월9일)을 개선한 버전인 2.15버전이 출시가 되었지만 localhost URL로 제한을 했지만 여전히 RCE도 사용될 수 있으며 Dos(Denial of Service(서비스 거부 공격))도 일어날 수 있게 되어 CVSS점수가 9점까지 올라간 상황이다.

 

이것을 또 해결하기위해 2.16버전을 발매했지만 이번에는 7.6점 정도의 위협을 가진 문제가 생겼는데 

 

다음과 같은 ${${::-${::-$${::-ㅓ}}}}라는 문자열을 받게 될 경우 무한재귀현상이 발생하게 되어 서버에서 스택오버플로가 발생하고 결국 다운될 수 있게 된다.

이 문제를 해결하기 위해 또 2.17버전을 발매했고 지금까지 별 다른 문제가 발생하진 않았다. 이런 문제가 지속적으로 발생하자 Log4J의 대안으로서 Log4J의 와 유사한 Logback이란 것을 사용할려고 한다. 5.1정도의 보안취약점이 있다. 

이미 중국 등등의 해커는 렌섬웨어, 좀비pc 등을 수없이 만들어서 log4j를 공격하고 있는 추세이며 공식적으로 피해가 확인된 최초의 정부 기관인 벨기에는 무려 '국방부'의 일부 업무가 마비가 되는 결과가 있었다.

 

완벽한 보안은 물론 존재하지 않을것이다. 하지만 이렇게 대형 이슈가 발생하게 되었고 해커들의 표적이 되었다면 당분간은 보안전쟁이 일어나지 않을까 생각된다.