[ 보안이슈 ] Apache Log4j 취약점 및 해결 방법

보안이슈

https://www.boannews.com/media/view.asp?idx=103257 

[긴급] 거의 모든 서버가 위험하다! 매우 치명적인 ‘로그4j’ 보안 취약점 발견

 

 

 

해결방안

1. Apache Log4j2 최신버전( Log4j 2.15.0 )으로 업데이트

2. 최신버전 업데이트 불가한 경우

pom.xml/gradle 에서 "log4j-core" 검색 -> 버전 확인

 

 - (조치방법) 2.0-beta9 ~ 2.10.0
      ※ JndiLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  - (조치방법) 2.10 ~ 2.14.1
      ※ log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정

 

 

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389 

KISA 인터넷 보호나라&KrCERT

 

https://logging.apache.org/log4j/2.x/index.html

Log4j – Apache Log4j 2

 

 

참고사항

SpringBoot 를 사용하고 있고, 기본 제공하는 Logging을 사용하는 경우에는 해당되지 않음. 

SpringBoot의 기본 Logging은 Logback을 사용하고 있으며, spring-boot-starter-logging 에 포함된 "log4j-api" 와 "log4j-to-slf4j" jar 파일은 해당 공격에 피해를 입지 않는다. "log4j-core"를 이용할 때 해당 이슈에 포함된다.

 

https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

Log4J2 Vulnerability and Spring Boot