메뉴 건너뛰기

전체보기
전체보기

메뉴보기 search

커뮤니티

오늘:
177
어제:
488
전체:
2,988,141

공지사항

Home 커뮤니티 공지사항
뷰어로 보기
2021.12.17 11:12

log4j 2.x 이슈 관련 내용입니다.

JamesBae
조회 수 862 추천 수 0 댓글 1
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄

안녕하세요 JamesBae 입니다.

 

최근 보안 취약점으로 이슈가 되고 있는 log4j 2.x 버전에 대한 내용과 조치사항 입니다. (리눅스)

 

우선 저희 하모니카에서 관리하고 있는 서버들은 다행스럽게도 log4j 2.x 버전을 사용하고 있지 않아 큰 문제가 없었습니다.

다만 업무 환경에서 쓰고 있는 비트버킷과 소나큐브에 있는 엘라스틱서치에서 log4j-core-2.11.1.jar 를 사용하고 있는 것을 발견하여

최근에 아파치 재단에서 권고하는 log4j-core-2.16.0.jar 를 변경하였습니다.

(https://community.sonarsource.com/t/sonarqube-sonarcloud-and-the-log4j-vulnerability/54721)

(https://community.atlassian.com/t5/Bamboo-questions/log4j-zero-day/qaq-p/1884870)

 

최신버전의 log4j 2는 아파치 재단에서 확인해주세요 (https://logging.apache.org/log4j/2.x/download.html)

이외에도 (log4j2.formatMsgNoLookups=true) 등의 추가조치도 진행하였습니다.

 

스프링부트를 쓰시는 개발자분들은 따로 log4j를 사용하지 않는다면 기본은 slf4j(logback)를 사용하기 때문에 pom.xml 쪽에서 검색을 해보시면 될 것 같습니다.

(https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot)

 

리눅스 환경 서버에서 log4j를 사용하고 있는지 전체적으로 검색하는 방법입니다.

 

1. log4j가 패키지로 설치되어 있을 수 있다.

dpkg -l | grep log4j

※ apt list | grep log4j 로 확인해본 결과 log4j2 버전이 2.16으로 업데이트 되어 있기 때문에 패키지만 업데이트를 진행하면 될 것 같습니다.

 

2. 서버에서 구동하고 있는 각종 서비스에서 사용하고 있을 수 있다. (전체 파일 검색)

sudo find -name '*log4j*'

 

조치하는데 도움이 될만한 사이트 입니다.

https://www.boannews.com/media/view.asp?idx=103344

 

감사합니다.

 

Facebook Twitter Google Pinterest
위로 아래로 댓글로 가기 인쇄
에디터 선택하기
?
Comments '1'
  • ?
    Japser 2021.12.20 17:29

    추가적으로1.x 사용하는 분들은 JMS appender 를 사용하지않으면 취약하지않다고 나오네요

     

    kr cert 에서 확인했습니다.

    댓글
List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 회고. 하모니카 프로젝트 지난 7년 5 file Kevin 2023.12.30 2216
공지 하모니카OS, 한국 리눅스 사용자의 인터넷 강의 서비스 이용 문제 해결 22 file Kevin 2023.12.25 3168
공지 [제9회 대한민국 SW제품 품질대상] 최우수상-인베슘 '하모니카 OS 5.0' 3 file Kevin 2022.12.07 1465
공지 하모니카OS, GS인증 1등급 획득!! 6 taiyin 2022.10.17 1901
공지 오픈소스 컨트리뷰션 참여방법 2 jullee 2020.12.04 6419
공지 설치 없이 사용할 수 있는 하모니카 VDI 클라우드 서비스가 출시되었습니다. 2 file Kevin 2020.03.12 7657
공지 하모니카OS 사용권한 안내 Kevin 2019.10.01 5439
공지 하모니카 커뮤니티 소개 20 Kevin 2018.04.01 7922
58 [공지] 일부 페이지에서 레이아웃이 비정상적으로 나오는 문제를 수정하였습니다. 1 LukeHan 2019.06.12 935
57 [공지] 하모니카 커뮤니티 서버를 이전하였습니다. 6 LukeHan 2018.11.30 935
56 MSI 인텔 12세대 메인보드, 하모니카OS 호환성 적합 인증 완료 1 taiyin 2022.05.24 933
55 개방형OS 프로젝트 하모니카 개발팀에서 인턴사원을 모십니다. taiyin 2022.04.22 927
54 하모니카 커뮤니티 2019-05 웹로그 분석 요약 3 file LukeHan 2019.06.11 927
53 하모니카 커뮤니티 2021-06 웹로그 분석 요약 file JamesBae 2021.07.07 922
52 하모니카 커뮤니티와 오픈소스소프트웨어재단이 함께 오픈소스 활성화를 위해 협력합니다. file Kevin 2020.04.24 917
51 우분투(Ubuntu) LTS 리눅스 커널 업데이트 - Spectre Variant 4 la_Nube(누베) 2018.05.22 916
50 하모니카 커뮤니티 2020-03 웹로그 분석 요약 file JamesBae 2020.04.01 911
49 2022년 하반기 ~ 2023년 상반기 하모니카 커뮤니티 웹로그 분석 결과 입니다. file Kevin 2023.07.11 900
48 하모니카 커뮤니티 2021-07 웹로그 분석 요약 file JamesBae 2021.08.09 884
47 system-config-printer 패키지 한글 번역 완료 1 file Kevin 2020.09.22 884
» log4j 2.x 이슈 관련 내용입니다. 1 JamesBae 2021.12.17 862
45 하모니카 커뮤니티 2021-05 웹로그 분석 요약 file JamesBae 2021.06.07 844
44 하모니카 커뮤니티 2018-05 웹로그 분석 요약 5 file Kevin 2018.06.02 811
43 하모니카 커뮤니티 2018-09 웹로그 분석 요약 2 file LukeHan 2018.10.01 806
42 하모니카 커뮤니티 2018-04 웹로그 분석 요약 7 file Kevin 2018.05.08 805
41 하모니카 커뮤니티 2018-12 웹로그 분석 요약 2 file LukeHan 2019.01.02 804
40 하모니카 커뮤니티 2018-10 웹로그 분석 요약 5 file LukeHan 2018.11.21 792
39 하모니카 커뮤니티 2018-07 웹로그 분석 요약 4 file LukeHan 2018.08.02 787
쓰기
Board Pagination Prev 1 2 3 4 5 6 7 8 Next
/ 8

Copyright © 2023 invesume, Licensed under the Apache License, Version 2.0.
HamoniKR and HamoniKR OS logo are trademarks of The Invesume, Inc.

패밀리 사이트
CLOSE