Log4j 취약점 (CVE-2021-44228)에 대한 보안 패치 적용 안내

기술지원

기술지원 문의

080-850-0915

유지보수 대상고객

  1. 홈페이지
  2. 기술지원
  3. 기술문서
  4. 제품 기술 자료
  5. Log4j 취약점 (CVE-2021-44228)에 대한 보안 패치 적용 안내
  1. 홈페이지
  2. 기술지원
  3. 기술문서
  4. Log4j 취약점 (CVE-2021-44228)에 대한 보안 패치 적용 안내

Log4j 취약점 (CVE-2021-44228)에 대한 보안 패치 적용 안내

요약

한국에스리 기술지원센터에서 Log4j 보안 이슈 (CVE-2021-44228)에 대해 Esri 공식 보안 패치 내용을 안내 드립니다.

설명

Esri는 신속히 CVE-2021-44228과 CVE-2021-45046 보안 취약점을 대비하실 수 있도록 스크립트를 배포하였으나, 시스템의 안정성을 위해 명시된 보안 취약점 외에도 기타 취약점들에 대해 ArcGIS Server, Portal for ArcGIS, ArcGIS Data Store에 바로 적용 가능한 패치를 안내 드립니다.

ArcGIS Enterprise Patches (04/21 업데이트)

ArcGIS Enterprise 제품군의 패치 및 버전에 대한 내용은 계속하여 업데이트 될 예정입니다. 현재 적용 가능한 패치는 아래와 같습니다.

ArcGIS Enterprise Log4j 패치 요약 페이지

Patch 세부사항

  • 모든 Log4j 2.x 컴포넌트는 현재 가장 최신 버전인 2.17.1로 업데이트 되었습니다.
    • 기술적인 문제로, 패치 적용 후에도 Log4j 2.x 파일이 경로에 남아있을 수 있습니다. 모든 Java 클래스는 제거된 상태이며 최신 버전인 2.17.1 파일로 메타데이터를 포함하고 있습니다. 남겨진 파일을 제거할 경우, 제품의 기능성 저하를 일으킬 수 있습니다.
    • 남겨진 파일은 다음 ArcGIS Enterprise 버전이 설치될 때, 자동으로 삭제됩니다.
    • 보안 검색은 파일의 버전 (숫자)에 기반하여 진행되기 때문에, 이러한 남겨진 파일을 보안 취약점 대상으로 인지할 수 있습니다. 미리 참고하여 주시기 바랍니다.
  • 보안 취약 대상 클래스를 가진 모든 Log4j 1.2.x 컴포넌트는 모두 제거되었습니다.
    • 완화된 Log4j 1.2.x 구성 요소들은 더 큰 체계의 종속성으로 인해 이번 패치에 포함될 예정입니다.
    • 출시될 다음 ArcGIS Enterprise 버전을 통해 Log4j 1.2.x 컴포넌트를 제거할 예정입니다.
    • 사용자는 Cross-product Log4j announcement에 명시된 것과 같이 Logpresso’s free Log4j-scan과 같은 도구를 이용하여 취약점이 완화된 것을 확인할 수 있습니다.

Patch에 포함된 Log4j 보안 취약점

원문 링크

ArcGIS Enterprise Log4j Security Patches Available (esri.com)

첨부파일

이 문서가 도움이 되었나요?

관련 기술문서