안녕하세요, 알서포트입니다.
지난 12일 과학기술정보통신부가 긴급 보안 업데이트를 권고한, Apache Log4j 서비스 보안 취약점(CVE-2021-44228)에 대해 당사의 제품 서비스 영향도를 조사 및 분석하여 안내드립니다.
* Log4j란 기업 홈페이지 등 인터넷 서비스 운영-관리 목적의 로그기록을 남기기 위해 사용하는 프로그램으로 업데이트를 수행하지 않을 경우, 취약점을 악용해 공격자가 원격에서 공격코드를 실행시킬 수 있어 심각한 피해를 입을 수 있습니다.
알서포트의 서비스 영향도를 전체 조사한 결과는 아래와 같습니다.
[영향도 조사 – 2021.12.12 시행]
* 취약점 내용 : Apache Log4j 2.0 ~ 2.14.1, log4j-core 사용 시
* 당사 적용 : Apache Log4j 2.11.2, log4j-core 미사용
1) Apache Logback을 사용하기 때문에 영향도 없음
(log4j 2를 사용하도록 설정하지 않음)
2) 취약 발생 log4j-core 미사용으로 영향 없음.(참고 링크)
당사는 취약점이 확인된 모듈(log4j-core)을 사용하지 않기에 이번 사태에 대한 피해 및 영향이 없습니다.
또 알려진 보안 관련 취약점에 대하여 늘 신속하게 패치를 적용하고 있습니다.
보안상 문제가 없으니 안심하고 이용하셔도 됩니다.
앞으로도 안정적인 서비스를 제공하기 위해 꾸준히 노력하겠습니다.
감사합니다.
