2021년 뉴스 기록
2021-12: Java log4j 취약점 발견
log4j에서 ${jndi:...} 처럼 jndi 옵션을 사용해 외부에서 특정 코드를 실행하는 것이 가능한 취약점.
- CVE-2021-44228
- CVE-2021-44228 Detail (NATIONAL VULNERABILITY DATABASE)
- Apache Log4j Security Vulnerabilities (logging.apache.org)
- Apache Log4j 2 보안 업데이트 권고 (KISA)
- Another Apache Log4j Vulnerability Is Actively Exploited in the Wild (CVE-2021-44228)
- CVE-2021-44228 – log4j - 취약점 보고(GeekNews) - GeekNews에 올라온 소식.
- log4j RCE Exploitation Detection - 취약점을 찾아내는 정규식과 셸 명령을 볼 수 있다.
한편, 이 취약점을 활용하면 마인크래프트로 DOOM 서버를 만들 수 있지 않겠냐는 흥미로운 의견도 있었다.
so fixing log4shell is great and all, but.. wouldn't it be ✨ amazing ✨ if we all just promised to be nice and instead use this power to make vanilla minecraft doom server 🤔 pic.twitter.com/tCaUCG1dqg
— Gegy (@gegy1000) December 11, 2021