log4j 2.x 이슈 관련 내용입니다.

by JamesBae posted Dec 17, 2021
?

단축키

Prev이전 문서

Next다음 문서

ESC닫기

크게 작게 위로 아래로 댓글로 가기 인쇄

안녕하세요 JamesBae 입니다.

 

최근 보안 취약점으로 이슈가 되고 있는 log4j 2.x 버전에 대한 내용과 조치사항 입니다. (리눅스)

 

우선 저희 하모니카에서 관리하고 있는 서버들은 다행스럽게도 log4j 2.x 버전을 사용하고 있지 않아 큰 문제가 없었습니다.

다만 업무 환경에서 쓰고 있는 비트버킷과 소나큐브에 있는 엘라스틱서치에서 log4j-core-2.11.1.jar 를 사용하고 있는 것을 발견하여

최근에 아파치 재단에서 권고하는 log4j-core-2.16.0.jar 를 변경하였습니다.

(https://community.sonarsource.com/t/sonarqube-sonarcloud-and-the-log4j-vulnerability/54721)

(https://community.atlassian.com/t5/Bamboo-questions/log4j-zero-day/qaq-p/1884870)

 

최신버전의 log4j 2는 아파치 재단에서 확인해주세요 (https://logging.apache.org/log4j/2.x/download.html)

이외에도 (log4j2.formatMsgNoLookups=true) 등의 추가조치도 진행하였습니다.

 

스프링부트를 쓰시는 개발자분들은 따로 log4j를 사용하지 않는다면 기본은 slf4j(logback)를 사용하기 때문에 pom.xml 쪽에서 검색을 해보시면 될 것 같습니다.

(https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot)

 

리눅스 환경 서버에서 log4j를 사용하고 있는지 전체적으로 검색하는 방법입니다.

 

1. log4j가 패키지로 설치되어 있을 수 있다.

dpkg -l | grep log4j

※ apt list | grep log4j 로 확인해본 결과 log4j2 버전이 2.16으로 업데이트 되어 있기 때문에 패키지만 업데이트를 진행하면 될 것 같습니다.

 

2. 서버에서 구동하고 있는 각종 서비스에서 사용하고 있을 수 있다. (전체 파일 검색)

sudo find -name '*log4j*'

 

조치하는데 도움이 될만한 사이트 입니다.

https://www.boannews.com/media/view.asp?idx=103344

 

감사합니다.

 


Articles

1 2 3 4 5 6 7 8 9