728x90

QnA로 알아보는 log4j 보안취약점 대응 가이드.pdf
0.41MB

□ 개요
 o Apache 소프트웨어 재단은 자사의 Log4j 2에서 발생하는 취약점을 해결한 보안 업데이트 권고[1]
 o 공격자는 해당 취약점을 이용하여 악성코드 감염 등의 피해를 발생시킬수 있으므로, 최신 버전으로 업데이트 권고
    ※ 관련 사항은 참고사이트 [6] 취약점 대응가이드를 참고 바랍니다.
    ※ 참고 사이트 [4]를 확인하여 해당 제품을 이용 중일 경우, 해당 제조사의 권고에 따라 패치 또는 대응 방안 적용
    ※ Log4j 취약점을 이용한 침해사고 발생시 한국인터넷진흥원에 신고해 주시기 바랍니다.
 
□ 주요 내용
 o Apache Log4j 2에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)[2]
 o Apache Log4j 2에서 발생하는 원격코드 실행 취약점(CVE-2021-45046)[7]
 o Apache Log4j 1.x에서 발생하는 원격코드 실행 취약점(CVE-2021-4104)[8]
    ※ Log4j : 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티

□ 영향을 받는 버전
 o CVE-2021-44228
  - 2.0-beta9 ~ 2.14.1 이하
 ※ 취약점이 해결된 버전 제외(Log4j 2.3.1, 2.12.2, 2.12.3 및 이후 업데이트 버전 제외)

 o CVE-2021-45046
  - 2.0-beta9 ~ 2.15.0 버전
 ※ 취약점이 해결된 버전 제외(Log4j 2.3.1, 2.12.2, 2.12.3 및 이후 업데이트 버전 제외)

 o CVE-2021-4104
   - 1.x 버전
      ※ JMSAppender를 사용하지 않는 경우 취약점 영향 없음

□ 대응방안
 o 제조사 홈페이지를 통해 최신버전으로 업데이트 적용 [3]
   ※ 제조사 홈페이지에 신규버전이 계속 업데이트되고 있어 확인 후 업데이트 적용 필요
    - CVE-2021-44228, CVE-2021-45046
      · Java 8 이상 : Log4j 2.17.0 이상 버전으로 업데이트
      · Java 7 : Log4j 2.12.3 이상 버전으로 업데이트
      · Java 6 : Log4j 2.3.1 이상 버전으로 업데이트
           ※ log4j-core-*.jar 파일 없이 log4j-api-*.jar 파일만 사용하는 경우 위 취약점의 영향을 받지 않음
   - CVE-2021-4104
      · Java 8 : Log4j 2.17.0 이상 버전으로 업데이트
      · Java 7 : Log4j 2.12.3 이상 버전으로 업데이트
      · Java 6 : Log4j 2.3.1 이상 버전으로 업데이트
 o 신규 업데이트가 불가능할 경우 아래와 같이 조치 적용
    - CVE-2021-44228, CVE-2021-45046
      · JndiLookup 클래스를 경로에서 제거

  zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

    - CVE-2021-4104
      · JMSAppender 사용 확인 후 코드 수정 또는 삭제
          ※ log4j 1.x버전 사용자의 경우 추가적인 업그레이드 지원 중지로 인해 다른 보안위협에 노출될 가능성이 높아 최신버전(2.x) 업데이트 적용 권고


□ 탐지정책
o 참고사이트 [6] 취약점 대응 가이드를 참고하여 탐지정책 적용
     ※ 본 탐지정책은 내부 시스템 환경에 따라 다르게 동작할 수 있으며, 시스템 운영에 영향을 줄 수 있으므로 충분한 검토 후 적용 바랍니다.
     ※ 공개된 탐지정책(참고사이트 [5])은 우회가능성이 있으므로 지속적인 업데이트가 필요합니다.

□ 침해사고 신고
 o 한국인터넷진흥원 인터넷침해대응센터 종합상황실(02-405-4911~5, certgen@krcert.or.kr)
 o 'KISA 인터넷보호나라&KrCERT' 홈페이지(www.boho.or.kr) → 상담및신고 → 해킹 사고

□ 기타 문의사항
 o 한국인터넷진흥원 사이버민원센터: 국번없이 118

[참고사이트]
[1] apache 보안업데이트 현황 : https://logging.apache.org/log4j/2.x/security.html
[2] 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
[3] 신규버전 다운로드 : https://logging.apache.org/log4j/2.x/download.html
[4] 제조사별 현황 : https://github.com/NCSC-NL/log4shell/tree/main/software
[5] 탐지정책 : https://rules.emergingthreatspro.com/open/suricata-5.0/rules/emerging-exploit.rules
[6] 취약점 대응 가이드 : https://www.boho.or.kr/data/guideView.do?bulletin_writing_sequence=36390
[7] 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046
[8] 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4104

728x90

'프로그래밍 > 정보보안' 카테고리의 다른 글

HTTP trace 제거  (0) 2019.04.10
개인정보보호 보안 가이드 - 행정자치부  (0) 2015.04.23
728x90

요즘에 보안에 대해서 민감하기 때문에 최대한 보안에 문제되는 점은 사전에 점검한다.
HTTP method 중에 GET, POST, PUT, DELETE, TRACE, OPTIONS등
불필요한건 제거하는 게 좋다.
apache / apache-tomcat의 설정이 조금 다르다.
apache-tomcat의 경우 해당 프로젝트의 web.xml에 다음과 같이 설정해 주면 된다.

 

tomcat의 ajp기능 비활성 시키기

 

해당 웹프로젝트의 web.xml에 아래 내용 추가

 

 

 <security-role>
  <description>Nobody should be in this role so JSP files are protected from direct access.</description>
  <role-name>nobody</role-name>
 </security-role>
 <security-constraint>
  <web-resource-collection>
   <web-resource-name>Forbidden</web-resource-name>
   <url-pattern>/*</url-pattern>
   <http-method>PUT</http-method>
   <http-method>DELETE</http-method>
   <http-method>TRACE</http-method>
   <http-method>PATH</http-method>
   <http-method>OPTIONS</http-method>

   <http-method>PROPFIND</http-method>

   <http-method>PROPPATCH</http-method>

   <http-method>COPY</http-method>

   <http-method>MOVE</http-method>

   <http-method>LOCK</http-method>

   <http-method>UNLOCK</http-method>

   <http-method>HEAD</http-method>
   <http-method>GET</http-method>
  </web-resource-collection>
  <auth-constraint>
   <role-name>nobody</role-name>
  </auth-constraint>
 </security-constraint>

 

728x90
728x90


개인정보보호_가이드라인_201503.pdf

 ○ 개인정보처리시스템 개발·구축과 관련하여 개인정보보호 관련 법령, 지침 및 규정 등에 위배되지 않도록 개발자 또는 운영자가 개인정보처리시스템의 기획, 개발·구축, 운영의 각 단계별로 준수하여야 하는 조치사항 제시

  ○ 본 가이드라인에서는 현재 시행되고 있는 개인정보보호 관련 법령, 지침, 고시 등을 종합적으로 분석하여 개인정보처리시스템을 기획, 개발·구축, 운영 단계에서 준수 또는 고려하여야 할 사항에 대하여 제시

  ○ 개인정보처리시스템을 기획, 개발·구축, 운영하려는 모든 개발자 및 운영자를 대상으로 적용

  ○ 본 가이드라인은『개인정보 보호법』을 기준으로 작성하였으며, 정보통신사업자에 해당하는 경우 업무에 참조할 수 있도록 『정보통신망법』 등을 별도로 추가하여 언급

 

 

[목차]

 

Ⅰ. 가이드라인 개요  |  1

    제 1 절 목적 및 개요  |  2

    제 2 절 적용범위  |  2

    제 3 절 가이드라인 구성  |  3

    제 4 절 관련 법령 및 지침  |  4

Ⅱ. 개인정보처리시스템 기획 단계  |  5

    제 1 절 목적 및 개요  |  6

    제 2 절 적용범위  |  6

    제 3 절 기본원칙  |  6

    제 4 절 준수사항  |  7

        1. 개인정보보호 관련 법령 및 지침 검토  |  7

        2. 개인정보 수집 최소화를 위한 방안 마련  |  10

        3. 개인정보 파기 방안 마련  |  13

        4. 주민등록번호 이외 회원가입 방안 마련  |  14

        5. 개인정보처리시스템에 대한 보안 대책 수립  |  17

        6. 개인정보 저장 및 전송 시 암호화 방식 결정  |  20

        7. 개인정보 처리(취급)방침 수립  |  24

        8. 개인정보 영향평가 고려사항 ·차 |  26

        9. 시큐어 코딩을 적용한 개발 방안 마련  |  28

    제 5 절 참조문서  |  29

 

Ⅲ. 개인정보처리시스템 개발·구축 단계  | 30

    제 1 절 목적 및 개요  |  31

    제 2 절 적용범위  |  31

    제 3 절 기본원칙  |  31

    제 4 절 준수사항  |  32

        1. 개인정보 수집 시 동의 획득 방안 반영  |  32

        2. 개인정보 파기 방안 반영  |  36

        3. 안전한 비밀번호 사용을 위한 정책 반영  |  39

        4. 개인(회원)정보 파일 다운로드 제한  |  41

        5. 개인정보처리시스템에 대한 접근통제  |  44

        6. 개인정보 전송 및 저장 시 암호화 적용  |  46

        7. 접속기록, 권한변경에 대한 로깅 및 저장 관리  |  49

        8. 개인정보 처리(취급)방침 공개  |  51

        9. 개인정보가 포함된 출력물에 대한 보안 조치  |  52

    제 5 절 참조문서  |  54

 

Ⅳ. 개인정보처리시스템 운영 단계  | 55

    제 1 절 목적 및 개요  |  56

    제 2 절 적용범위  |  56

    제 3 절 기본원칙  |  56

    제 4 절 준수사항  |  57

        1. 개인정보처리 위탁 시 준수사항  |  57

        2. 개인정보처리시스템 원격접속 시 보안 조치  |  58

        3. 개인정보처리시스템 취약점 진단  |  59

        4. 개인정보처리시스템 접속기록 및 접근권한 검토  |  60

        5. 개인정보 유출 시 신고  |  63

        6. 개인정보 이용내역 통지  |  66

    제 5 절 참조문서  |  67

 

[별첨]

    <별첨 1> 개인정보보호 관련 규정 위반 시 처벌  |  69

    <별첨 2> 개인정보보호 관련 규정 위반 시 처벌  |  71

    <별첨 3> 개인정보 처리방침(샘플)  |  75

    <별첨 4> 취약점 분석·평가 기본항목(웹)  |  81

    <별첨 5> 개인정보처리시스템 개인정보보호 자가진단 표  |  83

    <별첨 6> 개인정보의 안전성 확보조치 기준(개정 2014.12.30.)  |  84

    <별첨 7> 개인정보처리시스템 구축·운영시 이용 가능한 공개 소프트웨어  |  90

 

 

출처 : 행정자치부 | 원문자료

728x90

'프로그래밍 > 정보보안' 카테고리의 다른 글

Apache Log4j 보안 업데이트 권고  (0) 2022.09.01
HTTP trace 제거  (0) 2019.04.10

+ Recent posts