몇일전 Log4j 2에서 발견된 Log4Shell(CVE-2021-44228)이 발표되고 해당 취약점을 수정한 Log4j 2.15.0에서 2번째 취약점이 발견되었다.
이는, 해당 패치가 특정 비기본 구성에서 완정하지 않아 발생한 취약점이라고 한다.
CVE 설명에는 “이를 통해 공격자는 JNDI Lookup패턴을 사용하여 악의적인 입력 데이터를 조작하여 서비스 거부(DOS) 공격을 발생시킬수 있다.”고 언급되었습니다.
Apache에서는 이미 해당 취약점을 패치한 Log4j 2.16.0을 공개하였으며, 해당 패치는 메시지 조회 패턴에 대한 지원을 제거하고, Default로 JNDI기능을 비활성화하여 문제를 해결했다고 설명했습니다.