LOG4J 취약점(CVE-2021-XXXXX)은 무엇일까?
원격코드 실행(RCE: Remote Code Execution)에 취약하다고 하는데.. Java나 log4j에 따라 보안등급이 다른것 같고 취약점이 발견된 버젼과 조치방법에 대해 링크된 사이트에서 자세하게 볼수 있는것 같습니다.Log4J(Log4Shell) 역대 최악 보안 취약점(CVE-2021-44228) 정리
Apache Log4j Security Vulnerabilities
Log4j 취약점에 대한 PO에서의 대응
기존 XI/PI 그리고 PO는 JAVA기반 플랫폼이라 메시지모니터링이나 다른 관련 메뉴에서 로그출력되는 내용들을 보면 LOG4J 라이브러리를 사용하고 있지않을까 의심되기도 합니다.그럼 해당 라이브러리는 PO에 어디 위치에 있을까? 궁금해지기도 하는데요.
NWA > Configuration > Infrastructure > Java Class Loader > Viewer > livrary로 검색하면 lib/commons-logging-1.1.1.jar 파일을 볼수 있고 외부사이트에서 같은 버젼의 .jar파일을 다운로드받아 압축을 풀어보면 pom.xml에 log4j가 dependency되어있는걸 볼수 있었던것 같은데.. 해당 취약점과 관련있는지는 잘 모르겠네요.
하지만 이미 SAP에서는 해당 취약점에 대한 노츠나 패치가 올라와 있고 이걸 보고 해당되는 PO버젼에 맞게 적용하면 되는데.. 보통 SAP BC(Basis Consultant) 에서 적용해줄것 입니다.
관련노츠로는 참고하시면 될것 같은데
3131436 - FAQ Apache Log4j vulnerability in Web Service Adapter of SAP NetWeaver Process Integration
3132204 - Denial of service (DOS) associated with Apache Log4j 2 component used in Java in Java Web Service Adapter of SAP NetWeaver Process Integration
3130521 - [CVE-2021-44228] Remote code Execution vulnerability associated with Apache Log4j 2 component used in Java Web Service Adapter of SAP NetWeaver Process Integration
3131215 - Impact of log4j(CVE-2021-44228) vulnerability on SAP Process Orchestration
바로 운영에 적용하면 좋겠지만 보통 개발이나 테스트환경에서 적용 후에 운영중인 시스템에 적용하는게 일반적인걸로 알고 있습니다. 하지만 취약점이 너무 크다보니 운영중인 시스템에 최소한의 영향을 주되 취약점을 완화시키는 방법도 존재하는것 같은데.. 해당 노츠는 3130521인것 같습니다.
노츠내용들을 보면 PO의 어댑터들중에 웹서비스(SOAP,REST등) 어댑터만 언급되는것 같은데 다른(JDBC, FILE등)어댑터는 영향이 없는지 궁금기도 합니다.
운영중인 시스템에서는 이런 패치적용 시 다운타임이 존재하여 정기PM에서나 적용되는걸로 알고 있는데.. 긴급한 상황일때는 온라인방식? 도 있는걸로 알고 있습니다.
3130521노츠를 보면 자바 웹서비스 어댑터에 대한 의문점들이 어느정도 해소되는 내용들을 볼수 있는데요. 바로 패치적용하기 힘든경우 임시적으로 취약점을 완환시킬수 있는 방법을 볼수 있는것 같습니다.
댓글 없음:
댓글 쓰기