하모니공지

log4j 2.x 이슈 관련 내용입니다.

2021.12.17 11:12

JamesBae 조회 수:645

안녕하세요 JamesBae 입니다.

 

최근 보안 취약점으로 이슈가 되고 있는 log4j 2.x 버전에 대한 내용과 조치사항 입니다. (리눅스)

 

우선 저희 하모니카에서 관리하고 있는 서버들은 다행스럽게도 log4j 2.x 버전을 사용하고 있지 않아 큰 문제가 없었습니다.

다만 업무 환경에서 쓰고 있는 비트버킷과 소나큐브에 있는 엘라스틱서치에서 log4j-core-2.11.1.jar 를 사용하고 있는 것을 발견하여

최근에 아파치 재단에서 권고하는 log4j-core-2.16.0.jar 를 변경하였습니다.

(https://community.sonarsource.com/t/sonarqube-sonarcloud-and-the-log4j-vulnerability/54721)

(https://community.atlassian.com/t5/Bamboo-questions/log4j-zero-day/qaq-p/1884870)

 

최신버전의 log4j 2는 아파치 재단에서 확인해주세요 (https://logging.apache.org/log4j/2.x/download.html)

이외에도 (log4j2.formatMsgNoLookups=true) 등의 추가조치도 진행하였습니다.

 

스프링부트를 쓰시는 개발자분들은 따로 log4j를 사용하지 않는다면 기본은 slf4j(logback)를 사용하기 때문에 pom.xml 쪽에서 검색을 해보시면 될 것 같습니다.

(https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot)

 

리눅스 환경 서버에서 log4j를 사용하고 있는지 전체적으로 검색하는 방법입니다.

 

1. log4j가 패키지로 설치되어 있을 수 있다.

dpkg -l | grep log4j

※ apt list | grep log4j 로 확인해본 결과 log4j2 버전이 2.16으로 업데이트 되어 있기 때문에 패키지만 업데이트를 진행하면 될 것 같습니다.

 

2. 서버에서 구동하고 있는 각종 서비스에서 사용하고 있을 수 있다. (전체 파일 검색)

sudo find -name '*log4j*'

 

조치하는데 도움이 될만한 사이트 입니다.

https://www.boannews.com/media/view.asp?idx=103344

 

감사합니다.

 

번호 제목 글쓴이 날짜 조회 수
공지 Certificate verification failed 문제 해결 (하모니카 4.0) JamesBae 2021.12.06 404
공지 HamoniKR 5.0 Hanla 출시되었습니다. [6] JamesBae 2021.11.18 1498
공지 누구에게나 열린 커뮤니티 문화 조성을 위해 서로 존중하고 지켜주세요. taiyin 2021.11.01 345
공지 [행사안내]2021년 공개SW 개발자대회 - 인베슘도 후원사로 참여합니다 Kevin 2021.06.30 1783
공지 하모니카 저장소 공개키 서명 문제 해결방법 [2] JamesBae 2021.02.25 5637
공지 하모니카 실 사용자는 얼마나 될까요? [20] Kevin 2021.01.26 6694
공지 Distrowatch - 하모니카 4.0 [3] Kevin 2021.01.26 5414
공지 오픈소스 컨트리뷰션 참여방법 jullee 2020.12.04 3089
공지 하모니카는 linuxmint 스폰서로 참여합니다. [5] Kevin 2020.06.19 6625
공지 설치 없이 사용할 수 있는 하모니카 VDI 클라우드 서비스가 출시되었습니다. [2] Kevin 2020.03.12 6407
공지 해외 하모니카OS 관련 소식 Kevin 2020.02.07 4512
공지 게시판에 질문하기 전 읽어보면 좋은 글 [1] Kevin 2019.11.18 4982
공지 하모니카OS 사용권한 안내 Kevin 2019.10.01 4287
공지 하모니카 커뮤니티 소개 [20] Kevin 2018.04.01 6853
공지 공식 커뮤니티 채널 안내 [6] Kevin 2018.02.12 5992
37 하모니카 커뮤니티 2018-05 웹로그 분석 요약 [5] file Kevin 2018.06.02 636
36 하모니카 커뮤니티 2018-04 웹로그 분석 요약 [7] file Kevin 2018.05.08 634
35 하모니카 커뮤니티 2020-04 웹로그 분석 요약 file JamesBae 2020.05.04 630
34 하모니카 커뮤니티 2018-07 웹로그 분석 요약 [4] file LukeHan 2018.08.02 628
33 하모니카 커뮤니티 2018-10 웹로그 분석 요약 [5] file LukeHan 2018.11.21 620
32 하모니카 커뮤니티 2020-02 웹로그 분석 요약 file JamesBae 2020.03.02 616
31 하모니카 커뮤니티 2020-05 웹로그 분석 요약 file JamesBae 2020.06.01 613
30 (택배회사 사칭) 한국어를 구사하는 랜섬웨어 유포자, 이젠 매크로 기반으로 갠드크랩 유포 중 [1] la_Nube(누베) 2018.05.15 605
29 하모니카 커뮤니티 2018-08 웹로그 분석 요약 [1] file LukeHan 2018.09.03 590
28 하모니카 커뮤니티 2020-08 웹로그 분석 요약 file JamesBae 2020.09.07 572
27 하모니카 커뮤니티 2018-11 웹로그 분석 요약 [2] file LukeHan 2018.12.05 563
26 하모니카 커뮤니티 2018-06 웹로그 분석 요약 [2] file LukeHan 2018.07.03 548
25 가입시 인증메일이 발송되지 않는 문제를 수정하였습니다. [1] LukeHan 2018.12.17 541
24 [2021] 오픈소스 컨트리뷰터 모집이벤트 결과 발표입니다 [3] jullee 2021.11.24 531
23 하모니카 커뮤니티 2020-06 웹로그 분석 요약 file JamesBae 2020.07.03 530
22 하모니카 커뮤니티 2020-07 웹로그 분석 요약 file JamesBae 2020.08.13 528
21 하모니카 커뮤니티 2019-07 웹로그 분석 요약 file LukeHan 2019.09.30 524
20 하모니카 커뮤니티 2019-04 웹로그 분석 요약 file LukeHan 2019.05.27 487
19 즐겁고 행복한 명절 보내세요~ [4] file taiyin 2021.09.17 446
18 2021년 소프트웨이브 전시회에 참여하였습니다~ [1] file taiyin 2021.12.16 407
  • 하모니카 미디어 에디션
  • 설치가 필요없는 화상통화 하모니
loginbox2
아직 회원이 아니세요? 회원가입