최근 보안 연구원들은 다양한 소프트웨어 제공업체에서 사용하는 Apache의 Java 기반 로깅 유틸리티인 Log4J 툴에 영향을 미치는 원격 코드 실행(RCE) 취약점(CVE-2021-44228)을 발견했습니다.
이 문제가 처음 밝혀진 이후 Udemy 보안 팀은 Udemy 시스템을 검토하고 보호하기 위해 노력을 아끼지 않고 있습니다. 현 시점에서 이 취약점이 기업 또는 개인 데이터에 부정적인 영향을 미쳤다는 지표는 없습니다. Udemy는 당사의 인프라 및 애플리케이션 전반에 걸쳐 이 취약점의 영향을 지속적으로 조사할 것입니다.
이와 같이 영향이 큰 고위험 취약점에 대해 Udemy 팀은 필요에 따라 취약 정도 테스트, 네트워크 연결 제한, 소프트웨어 또는 시스템 업데이트 또는 해결책 적용 등 여러 즉각적인 조치를 취합니다. Udemy 보안 및 엔지니어링 팀은 해당 취약점, 공격 시도 및 당사와 계약한 타사로부터의 통지 사례를 확인하기 위해 환경, 주요 하위 프로세서 및 공급업체를 모니터링할 예정입니다.
추가 정보를 입수되는 대로 이 페이지를 통해 업데이트 사항을 제공하겠습니다. Udemy 보안 팀은 보안 연구원의 권고 사항이 변화함에 따라 시스템을 안전하게 보호하기 위해 최선을 다하고 있어 현재 사용자 맞춤 대응은 제공할 수 없습니다. Udemy의 대응 방식에 대한 자세한 정보는 아래 자주 묻는 질문을 참조하시기 바랍니다.
더 안전한 Log4J 버전(2.0-2.14.1)으로 업데이트하셨나요?
이전에 Log4J의 취약한 버전이 사용되었던 각각의 경우, Udemy는 권장되는 최신 버전으로 업그레이드하거나 권장되는 해결책을 구현하는 등 세심한 복원 노력을 기울였습니다. 또한, 시스템을 보다 전반적으로 보호하기 위해 다중 방어(예: 인바운드 및 아웃바운드 네트워크 연결에 추가 제한 적용)를 조정했습니다.
언제 복원이 완료될까요?
Log4J 취약점 공격 패턴이 진화함에 따라 Udemy 보안 팀은 보안 전문가 및 공급업체의 권고 사항을 모니터링하고 있으며, 이러한 권고 사항이 공유됨에 따라 복원 및 완화 노력을 계속할 것입니다.
고객 데이터가 손상되었나요?
현 시점에서 이 취약점이 기업 또는 개인 데이터에 부정적인 영향을 미쳤다는 지표는 없습니다.
Udemy 환경에서 사용하는 타사 공급업체에 Log4J가 미치는 영향에 대해 질문하고 있나요?
Udemy는 공급업체에 연락을 취해 공급업체에서 업데이트를 릴리스함에 따라 툴링 업데이트를 적용했습니다. 또한, 보안 전문가가 마련한 종합 목록을 모니터링하여 툴별로 기타 권장 보안 위험 완화에 대응하고 있습니다.