프로그래밍과 유용한 정보

java spring boot + slf4j 개발을 하다 보면 내가 추가하지도 않은 log4j-core.jar, log4j-to-slf4j.jar 등이 포함되어있는 것을 볼 수 있는데요 gradle 환경일 경우 build.gradle에 아래와 같이 코드를 추가하면 모두 삭제할 수 있습니다. configurations { all { exclude group: "org.slf4j", module: "slf4j-log4j12" exclude group: "org.apache.logging.log4j", module: "log4j-to-slf4j" exclude group: "log4j", module: "log4j" } }

며칠전 log4j2에 심각한 보안취약점이 발견되어 난리가 났었는데요. 이번에 버전 1에서도 취약점이 발견되었다고 합니다. "로그4j, 버전 1도 위험"…새 취약점 발견 (naver.com) "로그4j, 버전 1도 위험"…새 취약점 발견 거의 모든 인터넷 서버에서 사용하는 것으로 알려진 자바 기반 오픈소스 로깅 라이브러리 '로그4j'에서 지난 10일 보안 취약점 '로그4쉘'이 발견돼 대규모 사이버공격 피해 가능성에 전세계가 주 n.news.naver.com 새로운 취약점인 CVE-2021-4104는 버전 1.2에서 유효하지만 관련 API인 JMS Appender를 사용하지 않는 경우 취약점 영향을 받지 않는다고 합니다. JMS Appender를 사용하는지 확인하는 방법은 log4j.properties를 확..

과학기술정보통신부, apache log4j2 웹서비스 긴급 보안패치 권고 보안패치 미 조치 시 공격자가 원격으로 공격코드 실행 가능 사실상 전세계 거의 모든 서버에서 사용되는 Open source logging 라이브러리인 log4j2에 심각한 보안 에러가 발견되었습니다. 이 취약점(CVE-2021-44228)은 2021년 12월 10일 마인크래프트의 통신서버를 제작하는 PaperMC에서 이 취약점을 이용한 대규모 해킹 시도를 포착하여 긴급 공지 및 취약점 수정에 들어간 것을 계기로 전 세계적으로 알려지게 되었습니다. 이는 하트블리드와 CPU게이트보다 심각한 파급력을 보유한 IT 최대 보안 이슈로 추정되며 테나블(Tenable)에서는 이 사태를 컴퓨터 인터넷 역사를 통틀어 최악의 보안 결함일 수도 있다고..

Logback이란? Java에서 Log 기록을 위한 Open-Source framework. SLF4J의 구현체입니다. Spring Boot에서는 default로 설정되어 있어서 사용 시 별도로 라이브러리를 추가하지 않아도 됩니다. spring-boot-start-web 안에 spring-boot-starter-logging에 구현체가 있습니다. Logback을 이용하여 logging 하기 위해서 필요한 주요 설정 요소로는 Logger, Appender, Encoder의 3가지가 있습니다. Spring Boot logback 설정파일 Spring이나 일반 java 프로그램의 경우 logback.xml 파일을 resources 디렉터리에 만들어서 참조하지만 Spring Boot의 경우에는 아래 3가지 중 ..