OpenSSL 보안 취약점 CVE-2022-3602, CVE-2022-3786 CVE : CVE-2022-3602, CVE-2022-3786 심각도 : 높음 (High) 2022년 11월 1일 OpenSSL 에서 높음 등급의 취약점 및 패치버전이 발표 되었습니다. 애초에 하트 블리드 급의 매우 높은 등급의 심각도일 것이라는 뉴스 보도들이 미리 발표되어 많은 사람들이 긴장하고 있었지만 예상과는 다르게 높음 등급으로 심각도가 다운그레이드 되었습니다. 간략하게 3줄 요약을 하자면 아래와...
스위스 정부에서 깔끔하게 정리해서 포스팅한 글을 참조 하였습니다. 거두절미 하고 Log4j 2.x 의 이슈 CVE-2021-44228 설명은 생략 하겠습니다. Message formatting 을 통한 lookup 동작을 위해 ${protocol:~~~} 의 패턴을 갖습니다. WAF 에 룰을 설정하여 차단합니다. Log4j2 의 message lookup 을 disable 합니다. (2.10 <= current < 2.15.0) JAVA 환경변수 -Dlog4j2.formatMsgNoLookups=true 또는 시스템 환경 변수 LOG4J_FORMAT_MSG_NO_LOOKUPS=true 설정...