로그4j, 어느 덧 네 번째 패치까지 등장...고칠 수 있긴 한 걸까?

요약 : 아파치재단(Apache Foundation)이 새로운 로그4j 버전을 발표했다. 2.17.1이며, 2.17.0에서 발견된 원격 코드 실행 취약점 CVE-2021-44832가 해결됐다. 이제 각 조직의 보안 담당자들은 로그4j를 업데이트할 때 2.17.1 버전으로 하는 것이 가장 안전하다. 로그4셸(Log4Shell) 취약점이 발견된 이후 2.15, 2.16 버전이 연이어 등장했고, 이제는 2.17.1까지 나와 ‘이번 버전은 정말 안전한 걸까?’라는 불안감이 증폭되고 있다.


배경 : CVE-2021-44228(로그4셸) 취약점은 2.15 버전으로 패치했다. 그런데 여기서 CVE-2021-45046 취약점이 발견됐다. 2.16 버전이 이 문제를 해결했다. 그런데 여기서 CVE-2021-4104 취약점이 발견됐다. 이 때문에 2.17.0 버전이 나왔고 CVE-2021-44832가 등장했다. 그래서 나온 게 2.17.1 버전이다.

말말말 : “로그4j 취약점은 사실상 고칠 수 없는 것 아니냐는 밈이 벌써 보안 전문가들 사이에서 나오기 시작했습니다. 지금 패치 적용해봐야 또 다음 버전이 나올 것 같아서 손도 대고 있지 않습니다.” -한 트위터 사용자-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>