며칠전 log4j2에 심각한 보안취약점이 발견되어 난리가 났었는데요.
이번에 버전 1에서도 취약점이 발견되었다고 합니다.
"로그4j, 버전 1도 위험"…새 취약점 발견 (naver.com)
"로그4j, 버전 1도 위험"…새 취약점 발견
거의 모든 인터넷 서버에서 사용하는 것으로 알려진 자바 기반 오픈소스 로깅 라이브러리 '로그4j'에서 지난 10일 보안 취약점 '로그4쉘'이 발견돼 대규모 사이버공격 피해 가능성에 전세계가 주
n.news.naver.com
새로운 취약점인 CVE-2021-4104는 버전 1.2에서 유효하지만 관련 API인 JMS Appender를 사용하지 않는 경우 취약점 영향을 받지 않는다고 합니다.
JMS Appender를 사용하는지 확인하는 방법은 log4j.properties를 확인해보면 되는데요아래와 같은 코드가 있다면 JMS Appender를 사용하는 것 입니다.
log4j.appender.jms=org.apache.log4j.net.JMSAppender
log4j.appender.jms.InitialContextFactoryName=org.apache.activemq.jndi.ActiveMQInitialContextFactory
log4j.appender.jms.ProviderURL=tcp://localhost:61616
log4j.appender.jms.TopicBindingName=logTopic
log4j.appender.jms.TopicConnectionFactoryBindingName=ConnectionFactory
따라서 JMS Appender가 있다면 삭제 해주시면 되는데, KISA에서는 log4j 1.x이 경우 개발이 중단되었기 때문에 2.x로 업데이트를 권고하고 있습니다.
2.x로 버전을 업그레이드 하기 위해서는 java 버전에 따라 아래와 같이 패치를 하면 됩니다.
- java 8 : Log4j 2.16.0으로 업데이트
- java 7 : Log4j 2.12.2로 업데이트
728x90
'back end > log4j' 카테고리의 다른 글
| spring boot, gradle - exclude log4j (0) | 2021.12.24 |
|---|---|
| log4j 취약점 - "컴퓨터 역사상 최악의 최약점 발견" (0) | 2021.12.12 |
| [스프링부트] Spring Boot 로그 설정 - Logback (2) | 2020.10.25 |
