최근 log4j, logback 취약점 이슈가 발견되어 운영하는 시스템에 조치한 내용을 간단하게 기록해 봅니다.
1. 취약점
(1) log4j
- 원격코드 실행 취약점 발견
(2) logback
- logback.xml 설정파일에 접근 및 쓰기가 가능한 경우, JMSAppender를 통해 JNDI lookup을 실행할 수 있음
2. 조치 방안
- 최신 버전으로 업데이트(신규버전이 계속 업데이트되고 있어 확인 후 업데이트 적용 필요)
- Java 버전 호환성등으로 최신 버전으로 업데이트가 불가한 경우 참고자료 확인
3. 조치 내용
- 제가 운영하는 시스템은 스프링부트에서 기본 참조되는 로깅 중 logback 1.2.3 버전을 사용하고 있어서 1.2.9로 업데이트 진행
- log4j는 사용하지 않지만 기본 참조로 log4j-api 2.13.3, log4j-to-slf4j 2.13.3 버전이 생성되어 해당 라이브러리도 2.17.1로 업데이트 진행
4. 조치 방법
- maven 사용으로 아래와 같이 조치함
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.17.1</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-to-slf4j</artifactId>
<version>2.17.1</version>
</dependency>
<dependency>
<groupId>ch.qos.logback</groupId>
<artifactId>logback-core</artifactId>
<version>1.2.9</version>
</dependency>
<dependency>
<groupId>ch.qos.logback</groupId>
<artifactId>logback-classic</artifactId>
<version>1.2.9</version>
</dependency>
참고자료
- https://namu.wiki/w/Log4j%20보안%20취약점%20사태
- https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36397&queryString=cGFnZT0xJnNvcnRfY29kZT0mc29ydF9jb2RlX25hbWU9JnNlYXJjaF9zb3J0PXRpdGxlX25hbWUmc2VhcmNoX3dvcmQ9
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
'기타' 카테고리의 다른 글
| [기타] MobaXterm 사용 (0) | 2022.01.19 |
|---|---|
| [Nexacro] httptimeout 설정 (0) | 2022.01.18 |
| [Linux] mkdir -p 옵션 (0) | 2022.01.05 |
| [기타] 엑셀에서 INSERT문 만들기 (0) | 2019.04.03 |
| [기타] USB 용량이 제대로 인식되지 않을때 해결 방법 (0) | 2019.04.03 |
