1. KISA 인터넷보호나라 Apache Log4j 보안 업데이트 권고 관련 링크
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389
□ 영향을 받는 버전
o CVE-2021-44228
- 2.0-beta9 ~ 2.14.1 버전 (Log4j 2.12.2 제외)
o CVE-2021-4104
- 1.x 버전
※ JMSAppender를 사용하지 않는 경우 취약점 영향 없음
2. Apache log4j 2.x 취약점 CVE-2021-44228 관련 F5 링크
https://support.f5.com/csp/article/K19026212
이 취약점은 F5 모든 제품에 해당되지 않습니다.
3. Apache Log4j 1.x CVE-2021-4104 관련 세부 내용 링크
MLIST:[oss-security] 20211213 CVE-2021-4104: Deserialization of untrusted data in JMSAppender in Apache Log4j 1.2
URL:http://www.openwall.com/lists/oss-security/2021/12/13/1
- Log4j 1.2의 JMSAppender는 공격자가 Log4j 구성에 대한 쓰기 액세스 권한을 가질 때 신뢰할 수 없는 데이터의 역직렬화에 취약합니다. 공격자는 TopicBindingName 및 TopicConnectionFactoryBindingName 구성을 제공하여 JMSAppender가 CVE-2021-44228과 유사한 방식으로 원격 코드를 실행하는 JNDI 요청을 수행하도록 할 수 있습니다.이 문제는 기본값이 아닌 JMSAppender를 사용하도록 특별히 구성된 경우에만 Log4j 1.2에 영향을 미칩니다.
4. Apache log4j 1.x 취약점 CVE-2021-4104 관련 F5 링크
https://support.f5.com/csp/article/K24554520
이 취약점 역시 F5 모든 제품에 해당되지 않습니다.
F5 장비 Apache Log4j 1.x 보안취약점 여부 부가 설명
Answer:According to this analysis by @ceki (the author of log4j 1.x), Log4j 1.x is not impacted, since it does not have lookups, and the JMS Appender only loads Strings from the remote server, not serialized objects.
F5 의 경우 JMS Appender가 직렬화된 객체가 아닌 원격 서버에서 문자열만 로드하게 설계 되어 있어서,보안취약점에 영향을 받지 않음.
즉, F5 는 JMS Appender 가 있으나 참조 하지 않습니다.