Apache Log4j 취약점 관련 안내
Apache Log4j 취약점 관련 당사 대응 방침에 대해 안내 드립니다.
취약점이 존재하는 제품군 및 대상버전을 사용중이신 고객의 경우 긴급으로 고객사와 협의하여 log4j 최신버전으로 업데이트 패치 진행 예정입니다. 아래 공문 내용 참조해 주시고 문의사항이 있으시면 하기 문의처로 연락 부탁드립니다.
※ Log4j 취약점 대응 관련 문의처
☏ (대표전화) 1800-6713
☞ 홈페이지 문의폼
시행일자 : 2021.12.21
수 신 : (주)시큐레이어 전 고객사
제 목 : Apache Log4j 취약점 관련 제조사 안내의 건
- 귀 사의 무궁한 발전을 기원합니다.
- 최근 이슈가 된 Apache Log4j 취약점 관련하여 제조사 정책에 대해 안내드립니다.
– 아 래 –
가. 개요
o Apache Log4j 취약점 관련 자사 제품별 취약점 영향도 및 대응방안에 대해 안내드립니다.
나. Apache Log4j 버전별 취약점 정보
o Log4j v2.x
– Log4Shell 취약점(CVE-2021-44228),
서비스거부 취약점(CVE-2021-45046, CVE-2021-45105) 존재
o Log4j v1.2.x
– 서비스거부 취약점(CVE-2021-44228) 존재
(JMSAppender를 사용하지 않는 경우 취약점 영향 없음)
※ 자사 Log4j 취약점 관련 보고서 참고 : https://github.com/seculayer/Log4j-Vulnerability
다. 자사제품 영향도
o 제품 별, 버전 별 취약점 여부
| 제 품 군 | 대상버전 | Log4j 버전 | 취약점 여부 |
| eyeCloudAI | v2.x | v1.2.x | 해당사항 없음 |
| v3.x | v2.13.0 | 취약점 존재 | |
| eyeCloudSIM | All Version | v1.2.x | 해당사항 없음 |
| eyeCloudXOAR | All Version | v1.2.x | 해당사항 없음 |
| BlueBird | All Version | v1.2.x | 해당사항 없음 |
| iRIS4 | All Version | v1.2.x | 해당사항 없음 |
라. 대응 방안
o 취약점이 존재하는 제품군 및 대상버전 사용 고객의 경우 긴급으로 고객사와 협의하여
log4j 최신버전으로 업데이트 패치 진행예정
o log4j 1.x버전의 경우 추가적인 업그레이드 지원 중지로 인해 타 보안 위협에 노출될 가능성이 있어
최신버전 업데이트 적용 예정(유지보수 일정고려 고객사 협의필요)
주식회사 시큐레이어
대표이사 전 주 호
