Log4j 결함에 대한 Amazon의 핫패치, 권한 상승 버그에 취약한 것으로 밝혀짐

Log4Shell 취약점 에 대한 응답으로 AWS(Amazon Web Services)에서 출시한 "핫 패치" 는 컨테이너 탈출 및 권한 상승에 활용되어 공격자가 기본 호스트를 제어할 수 있도록 합니다. Palo Alto Networks Unit 42 연구원인 Yuval Avrahami 는 이번 주에 발표된 보고서에서 "컨테이너 외에도 권한이 없는 프로세스가 패치를 악용하여 권한을 높이고 루트 코드 실행을 얻을 수 있습니다. 문제 — CVE-2021-3100 , CVE-2021-3101 , CVE-2022-0070 및 CVE-2022-0071 (CVSS 점수: 8.8) — AWS에서 제공 하는 핫픽스 솔루션 에 영향을 미치며 이러한 문제가 Java 프로세스를 검색하고 즉시 Log4j 결함에 대해 패치하도록 설계되었지만 새로운 Java 프로세스가 컨테이너에 부과된 제한 내에서 실행되는지 확인하지 않습니다. Avrahami는 "컨테이너 내부 또는 외부에서 'java'라는 바이너리를 실행...

원문링크 : Log4j 결함에 대한 Amazon의 핫패치, 권한 상승 버그에 취약한 것으로 밝혀짐