안녕하세요 JamesBae 입니다.
최근 보안 취약점으로 이슈가 되고 있는 log4j 2.x 버전에 대한 내용과 조치사항 입니다. (리눅스)
우선 저희 하모니카에서 관리하고 있는 서버들은 다행스럽게도 log4j 2.x 버전을 사용하고 있지 않아 큰 문제가 없었습니다.
다만 업무 환경에서 쓰고 있는 비트버킷과 소나큐브에 있는 엘라스틱서치에서 log4j-core-2.11.1.jar 를 사용하고 있는 것을 발견하여
최근에 아파치 재단에서 권고하는 log4j-core-2.16.0.jar 를 변경하였습니다.
(https://community.sonarsource.com/t/sonarqube-sonarcloud-and-the-log4j-vulnerability/54721)
(https://community.atlassian.com/t5/Bamboo-questions/log4j-zero-day/qaq-p/1884870)
최신버전의 log4j 2는 아파치 재단에서 확인해주세요 (https://logging.apache.org/log4j/2.x/download.html)
이외에도 (log4j2.formatMsgNoLookups=true) 등의 추가조치도 진행하였습니다.
스프링부트를 쓰시는 개발자분들은 따로 log4j를 사용하지 않는다면 기본은 slf4j(logback)를 사용하기 때문에 pom.xml 쪽에서 검색을 해보시면 될 것 같습니다.
(https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot)
리눅스 환경 서버에서 log4j를 사용하고 있는지 전체적으로 검색하는 방법입니다.
1. log4j가 패키지로 설치되어 있을 수 있다.
dpkg -l | grep log4j
※ apt list | grep log4j 로 확인해본 결과 log4j2 버전이 2.16으로 업데이트 되어 있기 때문에 패키지만 업데이트를 진행하면 될 것 같습니다.
2. 서버에서 구동하고 있는 각종 서비스에서 사용하고 있을 수 있다. (전체 파일 검색)
sudo find -name '*log4j*'
조치하는데 도움이 될만한 사이트 입니다.
https://www.boannews.com/media/view.asp?idx=103344
감사합니다.
2021년 소프트웨이브 전시회에 참여하였습니다~
