Always-Try(정보보안 및 일상)

이전 포스팅인 CVE-2021-44228 해결 방안으로 나온 log4j 2.1.15 버전이 출시되지 얼마되지 않아 2.1.15 버전에 새로운 취약점이 발견되어 최근 보안 조치를 권고혼란을 주고 있다. 이외에도 log4j 관련 된 다양한 취약점이 발견되고 있는데, 이에 log4j 관련 취약점을 한번 정리해보고자 한다. 참고로 대응 방안에 Java 버전별로 다른 log4j 버전을 제시하는데, 이는 Java 7과 8 버전별로 지원하는 log4j의 버전이 다르기 때문인 점을 참고바란다. 과거 포스팅: 2021.12.13 - [Pen Test] - Log4j 보안 취약점 (CVE-2021-44228) 동작 원리 테스트 및 조치 방안 3/3 - 취약점 점검 및 대응 방안 관련 KISA 가이드: https://www..

[20211216 머릿글 추가] 해당 가이드에 포함된 대응 방안 중 하나인 log4j 2.1.15 버전에 신규 취약점이 발견되었다. 해당 내용을 포함한 대응 방안은 아래 포스팅을 참고바란다. 2021.12.16 - [Pen Test] - log4j 버전 별 취약점 및 신규 취약점 대응 방안 총 정리 (CVE-2019-17571, CVE-2021-44228, CVE-2021-45046, CVE-2021-4104) 2021.12.13 - [Pen Test] - Log4j 보안 취약점 (CVE-2021-44228) 쉽게 파해치기 1/3 - 취약점 개요 2021.12.13 - [Pen Test] - Log4j 보안 취약점 (CVE-2021-44228) 쉽게 파해치기 2/3 - 취약 환경 구성 및 테스트 2021..

2021.12.13 - [Pen Test] - Log4j 보안 취약점 (CVE-2021-44228) 쉽게 파해치기 1/3 - 취약점 개요 2021.12.13 - [Pen Test] - Log4j 보안 취약점 (CVE-2021-44228) 쉽게 파해치기 2/3 - 취약 환경 구성 및 테스트 2021.12.13 - [Pen Test] - Log4j 보안 취약점 (CVE-2021-44228) 쉽게 파해치기 3/3 - 취약점 점검 및 대응 방안 지난 1편에서는 개념을 알아봤고, 이제 AWS EC2를 하나 띄워서 실습 환경 구축을 통한 실습을 진행해본다. 아래 Github를 참고했으며, 해당 Github에 있는 대로 그대로 따라하면 오류 창을 볼 수 있는데, 가능하면 그대로 따라할 수 있도록 몇가지 명령어를 더 ..

지난주 금요일부터 주말 내내 역사상 최악의 보안 취약점이 발견되었다면서 보안업계가 시끌시끌했다. 이미 유사한 컨텐츠로 해당 취약점을 다룬 포스팅들이 많았지만 그 중에는 도움이 되지 않는 포스팅이 대다수였다. 그래서 필자가 스스로 찾아보고 그리고 커뮤니티에 던졌었던 질문들을 활용해 최대한 쉽게 해당 취약점에 대해서 정리해보려 한다. 그리고 킹리적갓심에 의해 조만간 정보보안기사를 포함한 보안 자격증 시험에도 출제가 될 것으로 보이는데, 현업자는 물론 보안을 공부하는 학생들도 이 글을 보고 이해를 했으면 하는 바램으로 이 글을 작성한다. 내용이 길어서 총 3편으로 나눠서 작성한다. 2021.12.13 - [Pen Test] - Log4j 보안 취약점 (CVE-2021-44228) 쉽게 파해치기 1/3 - 취약..