CVE-2021-45046 log4j 2에서 발생하는 서비스 거부 취약점 영향받는 버전 2.0beta ~ 2.14.1(2.12.2 제외) CVE-2021-4104 log4j 1에서 발생하는 원격코드 실행 취약점 영향받는 버전 1.2 JMSAppender를 사용하지 않는 경우 취약점 영향 없음 업그레이드 중지로 인해 보안에 취약. 업그레이드 권고 2개 취약점 대응방안 자바8일 경우는 log4j 2.16.0 업데이트 자바7일 경우는 log4j 2.12.2 업데이트 https://archive.apache.org/dist/logging/log4j/ Index of /dist/logging/log4j archive.apache.org

https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389 KISA 인터넷 보호나라&KrCERT KISA 인터넷 보호나라&KrCERT www.boho.or.kr □ 개요 o Apache 소프트웨어 재단은 자사의 Log4j 2에서 발생하는 취약점을 해결한 보안 업데이트 권고[1] o 공격자는 해당 취약점을 이용하여 악성코드 감염 등의 피해를 발생시킬수 있으므로, 최신 버전으로 업데이트 권고 □ 주요 내용 o Apache Log4j 2*에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)[2] * 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티 □ 영향을 받는 버전 o Apache Log4j..

기존 운영중인 서버 환경 $ cat /etc/redhat-release CentOS release 5.11 (Final) $ /usr/local/apache-2.0.65/bin/apachectl -v Server version: Apache/2.0.65 Server built: Nov 19 2019 22:31:55 $ /usr/local/php-4.4.9/bin/php -v PHP 4.4.9 (cli) (built: Nov 19 2019 22:43:13) Copyright (c) 1997-2008 The PHP Group Zend Engine v1.3.0, Copyright (c) 1998-2004 Zend Technologies with Zend Optimizer v2.6.2, Copyright (c)..

메소드 확인방법 $ curl -v -X OPTIONS http://localhost httpd.conf 설정 사이에 설정 해당경로만 메소드 제한걸리는 단점 하위폴더는 안됨! 아래처럼 으로 url pattern으로 차단해야함 Order deny,allow Deny from all

apache SSL인증서에 비밀 번호가 입력되어 있는 경우 apache를 실행 할 때 비밀 번호를 입력 해야지만 apache가 실행되게 된다. ssl.conf파일에 스크립트를 등록하여 apache 실행시에 자동으로 비밀 번호가 입력되도록 할 수 있다. 1. 패스워드를 기록한 스크립트 파일 생성 패스워드가 abc1234인 경우 아래와 같이 스크립트를 생성 [darksharavim]vi /usr/local/apache/conf/ssl/pass.sh #!/bin/sh echo "abc1234" 생성한 스크립트에 실행권한 설정 [darksharavim]ls -l /usr/local/apache/conf/ssl/pass.sh -rwx—— 1 root root 22 2021-06-22 12:24 /usr/local..