로그4j가 아닌 다른 곳에서 로그4셸과 비슷한 취약점 나와

요약 : H2 데이터베이스 콘솔에서 로그4셸(Log4Shell)과 비슷한 취약점이 발견됐다. 원격 코드 실행 취약점으로, CVE-2021-42392라는 취약점 관리 번호를 부여받았다. 로그4셸 발견 이후 처음으로 로그4j가 아닌 다른 요소에서 발견된 로그4셸 유사 취약점이라고 한다. 1.1.100에서 2.0.204 버전까지가 영향을 받으며, 2.0.206 버전을 통해 문제가 해결됐다.


배경 : H2는 오픈소스 관계형 데이터베이스 관리 시스템으로, 자바를 기반으로 하고 있으며, 클라이언트-서버 모드로 혹은 임베드 된 애플리케이션 형태로 사용된다. 많은 프로젝트들에서 활용되고 있어 파급력이 클 것으로 보이지만 로그4j 정도까지는 아니다.

말말말 : “로그4셸과 비슷하게, 이번에 발견된 취약점 역시 비승인 원격 코드 실행 공격을 가능하게 하며, 공격자는 이를 통해 피해자의 시스템을 완전히 장악할 수 있게 됩니다. 시급한 패치 적용이 필요합니다.” -제이프로그(JFrog)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>