많은 해외 호스팅에서는 cPanel 환경을 제공합니다. 최근 cpanel 웹호스팅 서버 제어판에서 이메일에 사용되는 소프트웨어의 일부에서 발견된 log4j 자바 라이러브리의 치명적인 결함을 수정하는 패치를 내놓았습니다. 이 취약점 자체는 Log4Shell이라 명명되었습니다. Apache 버전을 2.16으로 업그레이드해야 이 문제를 해결할 수 있다고 합니다.
cPanel 플러그인에 Log4j 취약점 발견
Log4j란 Log for Java(Apache Open Source Log Library)의 약어이며 자바 기반 로깅 유틸리티로 디버깅용 도구로 주로 사용되고 있습니다.
Log4j는 많은 온라인 소프트웨어 제품에 drop-in 기능을 추가하는 자바 라이브러리로 최종 사용자들이 보통 다운로드하여 사용하는 것이 아니고 소프트웨어의 일부로 포함되기 때문에 최종 사용자들은 사용하는 소프트웨어에 취약점이 포함되어 있는지 여부를 일반적으로 인식하지 못한다고 합니다.
log4j 취약점은 취약점 위험도에서 가장 위험한 단계에 해당하는 등급 10 취약점입니다. 보안 전문가들은 이 취약점을 재양으로 표현하고 있습니다.
This rather catastrophic vulnerability affects anything that uses log4j to log anything that includes user input. And that means it affects nearly every Java application that accepts input from the Web.
(보안업체 Wordfence가 트위터에 게시한 트윗)
미국 국토안보부(United States Department of Homeland Security)는 빠른 조치를 취할 것을 주문하고 있습니다.
cPanel 플러그인 Log4Shell 취약점
cPanel는 웹사이트 운영자들이 웹사이트 호스팅 환경을 수월하게 관리할 수 있도록 하는 컨트롤 패널입니다. 많은 해외 웹호스팅에서 cPanel을 제공하고 있습니다.
cPanel 플러그인에서도 Log4j 취약점이 발견되었다고 하네요. cPanel 포럼에 따르면 Apache 2.16으로 업그레이드해야 문제가 해결된다고 합니다.
Apache states that for full mitigation an upgrade to 2.16 is required, and that other mitigation measures do not fully protect against the vulnerability
이 문제에 대하여 블루호스트(Bluehost)에 문의해보니 Apache 버전이 2.14 이하에서는 이 보안 취약점에 취약하지만 Bluehost 서버는 Apache 2.4x 버전을 사용하고 있기 때문에 안전하다는 답변을 들었습니다.
cPanel 환경을 제공하는 웹호스팅 서비스를 이용하고 있다면 호스팅 업체에 문의하여 Apache 버전을 문의해볼 수 있을 것입니다.
참고
해외 호스팅: 블루호스트와 사이트그라운드 비교
개인적으로 현재 블루호스트 공유호스팅, 블루호스트 VPS, 사이트그라운드, FastComet, GreenGeeks 등에서 호스팅되는 사이트를 운영하거나 관리하고 있습니다. 현재 메인 블로그는 Bluehost VPS가 사용
avada.tistory.com