KOREAN
ENGLISH
EOL / EOS
[ 안녕하세요. 알티베이스입니다. ]
Apache Log4j 관련해서
KISA에서 지난 2021-12-11 최초 긴급 공지 보안 취약점 이후로도
지속적인 보안 취약점이 추가 리포트 되고 있습니다.
이에 따른 Altibase 사용자 영향도와 향후 계획에 대해 안내를 드립니다.
1. 우선 현재까지 KISA에서 공지한 주요 내역을 간략히 요약한 사항은 아래와 같습니다.
A. CVE-2021-44228 : 2.0-beta9 ~ 2.14.1 버전 (Log4j 2.12.2 제외)
B. CVE-2021-45046 : 2.0-beta9 ~ 2.12.1 및 2.13.0 ~ 2.15.0 버전
C. CVE-2021-4104 : 1.2 버전 (JMSAppender를 사용하는 경우)
2. Altibase에서 Apache Log4j 사용 현황은 아래와 같습니다.
- Altibase의 엔진이나 기본 모듈에서는 Apache Log4j를 사용하지 않습니다.
- Altibase 7.1.0 이후 버전부터 기본으로 설치되는 Altimon과 별도 설치 유틸리티인
MigrationCenter, ReplicationManager, dataCompJ, altiShapeLoder에서 Log4j를 사용중입니다.
- Log4j 버전은 1.2.16이며 JMSAppender는 사용하지 않습니다.
3. 이에 대한 Altibase 영향도 분석 결과는 아래와 같습니다.
- Altibase 6.5.1 이하 사용자는 영향도가 없습니다.
- Altibase 7.1 이상 사용자와 (2)에서 언급한 유틸리리를 설치하신 사용자는 아래와 같습니다.
A. CVE-2021-44228 : 영향도 없습니다.
B. CVE-2021-45046 : 영향도 없습니다.
C. CVE-2021-4104 : 영향도 없습니다.
4. 최종 결론 및 향후 계획은 아래와 같습니다.
- Altibase는 현재까지 KISA에서 긴급 조치를 경고/권고한 보안 취약점과 무관하므로
Altibase 사용자 분들은 아무런 조치를 하지 않으셔도 됩니다.
- Altibase는 Apache Log4j를 2.16.0 이상으로 변경할 예정이며 2022년 2월에 착수하여 1/4분기내에 완료할 예정입니다.
Apache Log4j 버전은 추가로 확인되는 보안 취약점에 따라 더 상위 버전으로 조정할 예정입니다.
감사합니다. [닫기]