Apache log4j 보안취약점 조치 방법입니다.
□ 조치(대상) 우선순위
- 1순위 : 인터넷 서비스를 진행하고, Apache & Java Logging을 사용하는 시스템
- 2순위 : 기타 Apache & Java Logging을 사용하는 시스템
□ 영향받는 버젼
- 2.0-beta9 ~ 2.14.1 모든버전
□ 조치 방안
o 2.0-beta9 ~ 2.6.0
- JndLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
o 2.7.0~2.9.x 버전
- log4j 설정(log4j.xml 등)에 PatternLayout 속성에 있는 %m 부분을 %m{nolookups} 로 변경
o 2.10 ~ 2.14.1
- log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정
- java -Dlog4j2.formatMsgNoLookups=true -jar xxxx.jar
o 제조사 홈페이지를 통해 최신버전(2.15.0)으로 업데이트 적용
제조사 download URL : https://logging.apache.org/log4j/2.x/download.html
※ 단, 자바8 버전을 사용하고 있어야 함
□ 관련 문서
- https://github.com/apache/logging-log4j2/releases/tag/rel/2.15.0
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
- https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389&fbclid=IwAR0oew-uW3_om9o6EU7kap6VcbVEIxeLZ89ur09631E9NqkyixLM3brnyXY
'[Program] > Server' 카테고리의 다른 글
CentOS 7.5 Cmake3.6.1 설치(Install) (0) | 2018.11.22 |
---|---|
Apache Reverse Proxy 사용하기 (0) | 2018.11.16 |