요약

한국에스리 기술지원센터에서 Log4j 보안 이슈 (CVE-2021-44228)에 대해 Esri 공식 보안 패치 내용을 안내 드립니다.

설명

Esri는 신속히 CVE-2021-44228과 CVE-2021-45046 보안 취약점을 대비하실 수 있도록 스크립트를 배포하였으나, 시스템의 안정성을 위해 명시된 보안 취약점 외에도 기타 취약점들에 대해 ArcGIS Server, Portal for ArcGIS, ArcGIS Data Store에 바로 적용 가능한 패치를 안내 드립니다.

ArcGIS Enterprise Patches (09/01 업데이트)

ArcGIS Enterprise 제품군의 패치 및 버전에 대한 내용은 계속하여 업데이트 될 예정입니다. 현재 적용 가능한 패치는 아래와 같습니다.

• ArcGIS EnterPrise 11.0
  • Log4j 패치가 필요하지 않으며, 완벽히 개선되어 있는 상태입니다. 자세한 사항은 취약점 페이지를 방문하시면 볼 수 있습니다.
• Portal for ArcGIS
  • 중요 노트 : 새로운 Portal for ArcGIS 패치 버전B가 2022년 4월 20일에 배포되었습니다. 하단의 해당하는 버전의 링크에 들어가서 상세한 부분을 확인 가능하십니다.
  • 10.6
    • Portal for ArcGIS Log4j Patch (esri.com)
  • 10.6.1
    • Portal for ArcGIS Log4j Patch (esri.com)
  • 10.7.1
    • Portal for ArcGIS Log4j Patch (esri.com)
  • 10.8.1
    • Portal for ArcGIS Log4j Patch (esri.com)
  • 10.9
    • Portal for ArcGIS Log4j Patch (esri.com)
  • 10.9.1
    • Portal for ArcGIS Log4j Patch (esri.com)
• ArcGIS Server
  • 중요 노트 : 새로운 ArcGIS Server 패치 버전B가 AWS(Amazon Web Services)에서 발생하는 BUG-000148146 방지를 위해 2022년 4월 11일에 배포되었습니다. 하단의 해당하는 버전의 링크에 들어가서 상세한 부분을 확인 가능하십니다.
  • 10.6
    • ArcGIS Server Log4j Patch (esri.com)
  • 10.6.1
    • ArcGIS Server Log4j Patch (esri.com)
  • 10.7.1
    • ArcGIS Server Log4j Patch (esri.com)
  • 10.8.1
    • ArcGIS Server Log4j Patch (esri.com)
  • 10.9
    • ArcGIS Server Log4j Patch (esri.com)
  • 10.9.1
    • ArcGIS Server Log4j Patch (esri.com)
• ArcGIS Datastore
  • 10.6
    • ArcGIS Datastore Log4j Patch (esri.com)
  • 10.6.1
    • ArcGIS Datastore Log4j Patch (esri.com)
  • 10.7.1
    • ArcGIS Datastore Log4j Patch (esri.com)
  • 10.8.1
    • ArcGIS Datastore Log4j Patch (esri.com)
  • 10.9
    • ArcGIS Datastore Log4j Patch (esri.com)
  • 10.9.1
    • ArcGIS Datastore Log4j Patch (esri.com)
• ArcGIS GeoEvent Server
  • 10.6
    • ArcGIS GeoEvent Server Log4j Patch (esri.com)
  • 10.6.1
    • ArcGIS GeoEvent Server Log4j Patch (esri.com)
  • 10.7.1
    • ArcGIS GeoEvent Server Log4j Patch (esri.com)
  • 10.8.1
    • ArcGIS GeoEvent Server Log4j Patch (esri.com)
  • 10.9
    • ArcGIS GeoEvent Server Log4j Patch (esri.com)
  • 10.9.1
    • ArcGIS GeoEvent Server Log4j Patch (esri.com)
• ArcGIS Workflow Manager Server
  • 10.9.1
    • ArcGIS Workflow Manager Server Log4j Patch (esri.com)

• ArcGIS GeoEnrichment Server
  • 10.7.1
    • ArcGIS GeoEnrichment Server Log4j Patch (esri.com)
  • 10.8.1
    • ArcGIS GeoEnrichment Server Log4j Patch (esri.com)
  • 10.9
    • ArcGIS GeoEnrichment Server Log4j Patch (esri.com)
  • 10.9.1
    • ArcGIS GeoEnrichment Server Log4j Patch (esri.com)
• ArcGIS Data Interoperability for Server
  • 10.6
    • ArcGIS Data Interoperability for Server Log4j Patch (esri.com)
  • 10.6.1
    • ArcGIS Data Interoperability for Server Log4j Patch (esri.com)
  • 10.7.1
    • ArcGIS Data Interoperability for Server Log4j Patch (esri.com)
  • 10.8.1
    • ArcGIS Data Interoperability for Server Log4j Patch (esri.com)
  • 10.9
    • ArcGIS Data Interoperability for Server Log4j Patch (esri.com)
  • 10.9.1
    • ArcGIS Data Interoperability for Server Log4j Patch (esri.com)

• ArcGIS Notebook Server
  • 10.7.1
    • ArcGIS Notebook Server Log4j Patch (esri.com)
  • 10.8.1
    • ArcGIS Notebook Server Log4j Patch (esri.com)
  • 10.9
    • ArcGIS Notebook Server Log4j Patch (esri.com)
  • 10.9.1
    • ArcGIS Notebook Server Log4j Patch (esri.com)
• ArcGIS Enterprise on Kubernetes
  • 10.9.1.1611
    • ArcGIS Enterprise on Kubernetes Log4j Patch (esri.com)

ArcGIS Enterprise Log4j 패치 요약 페이지

Patch 세부사항

• 모든 Log4j 2.x 컴포넌트는 현재 가장 최신 버전인 2.17.1로 업데이트 되었습니다.
  • 기술적인 문제로, 패치 적용 후에도 Log4j 2.x 파일이 경로에 남아있을 수 있습니다. 모든 Java 클래스는 제거된 상태이며 최신 버전인 2.17.1 파일로 메타데이터를 포함하고 있습니다. 남겨진 파일을 제거할 경우, 제품의 기능성 저하를 일으킬 수 있습니다.
  • 남겨진 파일은 다음 ArcGIS Enterprise 버전이 설치될 때, 자동으로 삭제됩니다.
  • 보안 검색은 파일의 버전 (숫자)에 기반하여 진행되기 때문에, 이러한 남겨진 파일을 보안 취약점 대상으로 인지할 수 있습니다. 미리 참고하여 주시기 바랍니다.
• 보안 취약 대상 클래스를 가진 모든 Log4j 1.2.x 컴포넌트는 모두 제거되었습니다.
  • 완화된 Log4j 1.2.x 구성 요소들은 더 큰 체계의 종속성으로 인해 이번 패치에 포함될 예정입니다.
  • 출시될 다음 ArcGIS Enterprise 버전을 통해 Log4j 1.2.x 컴포넌트를 제거할 예정입니다.
  • 사용자는 Cross-product Log4j announcement에 명시된 것과 같이 Logpresso’s free Log4j-scan과 같은 도구를 이용하여 취약점이 완화된 것을 확인할 수 있습니다.

Patch에 포함된 Log4j 보안 취약점

• CVEID: CVE-2021-44228
• CVEID: CVE-2021-45046
• CVEID: CVE-2021-4104
• CVEID: CVE-2021-45105
• CVEID: CVE-2021-44832
• CVEID: CVE-2022-23305
• CVEID: CVE-2022-23302
• CVEID: CVE-2022-23307
• CVEID: CVE-2020-9488
• CVEID: CVE-2019-17571
• CVEID: CVE-2017-5645

원문 링크

ArcGIS Enterprise Log4j Security Patches Available (esri.com)