💻System

Log4j 2 RCE (CVE-2021-44228) 1. 개요 Log4j는 java 기반 로깅 도구인 Apache 라이브러리이다. Log4Shell 이라고도하는 이 취약점은 CVE-2021-44228로 식별되며 CVSS(Common Vulnerbility Scoring System) 점수는 최고점인 10점을 받았다. 비교적 공격방법이 쉬운 편에 속하지만 RCE 취약점이고, 다양한 제품에서 해당 라이브러리를 사용한다. 해당 취약점은 JNDI Injection을 통한 RCE로 JNDI Lookup을 구문을 취약한 파라미터에 삽입하여 해당 구문이 로깅되면서 악성 LDAP 서버로 부터 임의의 코드를 받아와서 실행이 되는 취약점이다. 2. 대상 CVE-2021-44228에 취약한 Log4j 2 버전은 아래와 같다..