본문 바로가기

[Program]/Server

log4j 보안취약점 조치방법

 

 

Apache log4j 보안취약점 조치 방법입니다.

 

□ 조치(대상) 우선순위

  - 1순위 : 인터넷 서비스를 진행하고, Apache & Java Logging을 사용하는 시스템

  - 2순위 : 기타 Apache & Java Logging을 사용하는 시스템



□ 영향받는 버젼

 - 2.0-beta9 ~ 2.14.1 모든버전



□ 조치 방안

 o 2.0-beta9 ~ 2.6.0

   - JndLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class



 o 2.7.0~2.9.x 버전

   - log4j 설정(log4j.xml 등)에 PatternLayout 속성에 있는 %m 부분을 %m{nolookups} 로 변경



 o 2.10 ~ 2.14.1

   - log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정

   - java -Dlog4j2.formatMsgNoLookups=true -jar xxxx.jar



 o 제조사 홈페이지를 통해 최신버전(2.15.0)으로 업데이트 적용

    제조사 download URL : https://logging.apache.org/log4j/2.x/download.html

    ※ 단, 자바8 버전을 사용하고 있어야 함



□ 관련 문서

 - https://github.com/apache/logging-log4j2/releases/tag/rel/2.15.0

 - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228

 - https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389&fbclid=IwAR0oew-uW3_om9o6EU7kap6VcbVEIxeLZ89ur09631E9NqkyixLM3brnyXY

'[Program] > Server' 카테고리의 다른 글

CentOS 7.5 Cmake3.6.1 설치(Install)  (0) 2018.11.22
Apache Reverse Proxy 사용하기  (0) 2018.11.16