업데이트: 이제 모든 타사 벤더는 현재 CVE-2021-44228 와 CVE-2021-45046에서 확인된 문제를 해결할 수 있도록 패치되었습니다.
간단한 요약
2021년 12월 9일 당사는 CVE-2021-44228에 설명된 Apache Software Foundation의 Java 라이브러리인 Log4j에서 심각한 취약성을 확인했습니다. 조금 후에 CVE-2021-45046을 확인하였으며 이 역시 Log4j를 시사합니다. 많은 클라우드 기반 서비스와 같이 Slack은 로그를 처리하는 데 Log4j를 사용합니다.
당사는 인프라 및 클라이언트 애플리케이션을 평가하고 취약성의 영향을 완화하기 위해 업데이트하도록 즉시 조치를 취했습니다. 2021년 12월 13일에 CVE-2021-44228의 초기 완화를 완료하고 12월 17일에 CVE-2021-45046에 대한 완화를 완료했습니다. 2021년 12월 17일에는 CVE-2021-44228 및 CVE-2021-45046에 현재 식별된 문제에 취약한 Slack의 프로덕션 서비스에 필요한 모든 패치 및 완화를 적용했으며 최종 확인 단계를 실행하고 있습니다.
영향을 받은 대상
아직 영향 분석이 완료되지 않았습니다. Slack.com 서비스 및 고객 데이터를 위험에 처하게 하는 취약성 관련 고객 데이터에 대한 액세스를 얻기 위해 공격자가 취약성을 악용했는지 확인하도록 조사를 수행합니다. 이 조사는 CVE-2021-44228 및 CVE-2021-45046에 대해 진행 중이며 완료하는 데 시간이 다소 걸릴 수 있습니다. 이 취약성의 결과로 고객의 데이터가 손상된 것이 확인되면 최대한 지체없이 고객에게 연락을 드릴 것입니다.
Slack이 이제 해야 할 사항
임시 완화가 영구적으로 만들어졌는지 확인하고 Slack이 취약한 시간 동안 고객의 데이터가 영향을 받았는지 조사하여 완화 프로세스에 누락된 사항이 없는지 계속해서 확인 중입니다.
[편집자 주: 타사 벤더의 상태가 확인되었습니다, 위 업데이트를 확인해주세요.] 또한 서비스가 전체적으로 패치되었다는 확인을 일부 공급업체로부터 계속 기다리고 있습니다. 계속해서 Log4J 취약성과 관련된 개발을 모니터링하고 필요한 경우 완화를 업데이트하겠습니다.
필요한 조치
해당하는 경우 고객이 Slack 통합과 관련된 위험을 조사할 것을 권장합니다(아래 참조). Slack 서비스 자체는 백엔드에서 업데이트되었습니다. 고객은 Log4j를 사용하지 않아 클라이언트를 업데이트할 필요가 없거나 Slack 서비스를 보호하기 위해 배포된 패치 및 완화를 받도록 변경할 필요가 없습니다.
자세한 내용을 확인해야 하는 대상을 위해
이러한 취약성에 대응하기 위해 잠재적인 모든 Log4j 사용을 식별하도록 프로덕션, 개발 및 회사 운영 환경, 코드 저장소, 실행 중인 프로덕션 프로세스에서 서버를 검토하였습니다. 이 데이터를 사용하여 잠재적으로 취약한 모든 서비스 목록을 컴파일링하고 잠재적인 문제 영향을 완화하기 위해 적용 패치 또는 문제 해결을 시작했습니다. 이때 CVE-2021-44228 및 CVE-2021-45046의 권장 사항과 조정되는 Slack 서비스의 완화가 준비되었습니다. 새로운 정보가 제공됨에 따라 이러한 취약성의 잠재적인 영향을 계속해서 평가하고 있습니다.
Slack 서비스 및 API가 Log4j를 사용하여 데이터를 처리하는 반면 모바일 및 데스크톱의 Slack 클라이언트는 Log4j를 사용하지 않으므로 이러한 취약성의 영향을 받지 않았습니다.
앱 디렉토리의 서비스 공급업체에서 이러한 취약성의 영향을 평가할 수는 없습니다. 이러한 서비스 공급업체는 Log4j를 사용할 수도 있고 사용하지 않을 수도 있습니다. 더 자세한 내용을 알아보려면 Slack의 앱 디렉토리에서 앱 리스팅의 “지원받기” 링크를 사용하여 서비스 공급업체에 직접 문의하시기 바랍니다.
Slack에서 데이터와 상호 작용하는 자체 통합을 만든 경우(“사용자 지정 통합 앱”) 다음을 확인하기 위해 Log4j의 자체 사용에 있을 수 있는 영향을 검토해야 합니다.
- 이러한 사용자 지정 통합 앱을 통해 Slack에 작성하는 데이터는 Slack의 보호 책임이며 Slack의 서버는 위에 제공된 정보별로 Log4j 취약성을 완화하기 위해 업데이트되었습니다.
- Slack에서 읽고 자체 인프라에 전달하는 데이터는 Slack 워크스페이스에 있는 모든 데이터가 신뢰할 수 있는 소스에서 나온 경우 더 낮은 위험을 보여줍니다.
- 하지만 전체적으로 신뢰하지 않는 소스에서 Slack 워크스페이스에 데이터를 포스팅하는 경우 Log4j를 통해 로깅을 지원하는, 호스팅한 인프라가 패치되었으며 전체적으로 최신 상태인지 즉시 확인해야 합니다.
더 알아야 하는 사항
Log4j 라이브러리 및 문제에 대해 배경 정보를 제공하는 몇 가지 좋은 소스가 있습니다. 더 많은 컨텍스트를 원하는 분들을 위해 다음을 권장합니다.
기술적인 질문은 Slack 지원팀의 멤버에게 연락하시기 바랍니다. 기꺼이 케이스를 만들어 드릴 것입니다.