CVE-2022-41852 JXPath 취약점 공지

로그프레소 제품의 Apache Commons JXPath 취약점과 관련하여 대응 방안을 안내드립니다.

관련 자료

미국 시간으로 2022-10-06에 JXPath 라이브러리 취약점이 CVE-2022-41852으로 공개되었습니다.

• https://nvd.nist.gov/vuln/detail/CVE-2022-41852
• https://hackinglab.cz/en/blog/remote-code-execution-in-jxpath-library-cve-2022-41852/

영향 범위

2015년 7월 이후에 배포된 모든 로그프레소 버전에 org.araqne.logdb.jxpath 번들로 commons-jxpath 1.3 버전이 포함되어 있습니다. 인증된 사용자 권한으로 쿼리를 실행할 수 있다면 JXPath 취약점을 악용할 수 있습니다.

취약점 설명

JXPath 라이브러리는 Standard Extension Functions 라는 명칭으로 임의의 자바 코드를 실행할 수 있는, 기본으로 활성화해서는 안 되는 기능을 내장하고 있습니다. 이를 이용하면 임의로 시스템을 종료시키거나, 의도하지 않은 코드를 실행할 수 있습니다.

현장 대응 조치 (Workaround)

아래와 같이 대응 조치해주시기 바랍니다.

1. 로그프레소 쉘 접속 후 번들 ID 확인

   logpresso> bundle.list jxpath
   [ ID] Symbolic Name Version Status
   ------------------------------------------------------------------
   [ 50] org.araqne.logdb.jxpath 0.2.0 ACTIVE
   

2. JXPath 번들 삭제 및 새로고침

   단계 1에서 확인한 번들 ID를 기입하여 삭제합니다. (예시는 50이나 버전별로 상이할 수 있음)

   logpresso> bundle.uninstall 50
   bundle 50 uninstalled successfully.
   
   logpresso> bundle.refresh
   bundles are refreshed.
   

제조사 대응 계획

JXPath는 문서화되지 않은 기능이므로 이후 배포되는 로그프레소 모든 패키지에서 JXPath를 원천 제거할 예정입니다.