Log4j 2.17.0 보안취약점 발견 (2021.12.29 CVE-2021-44832)

지긋지긋.. log4j 관련 보안취약점이 끊임없이 나오고 있다. 

KISA 인터넷 보호나라&KrCERT

여기서 2021.12.29일자로 새로운 log4j 보안취약점 조치사항에 대해 잘 나와있다. 

 

요약하자면 

주요내용

Apache Log4j 2에서 발생하는 원격코드 실행 취약점(CVE-2021-44832)

 

영향을 받는 버전

CVE-2021-44832
   - 2.0-beta9 ~ 2.17.0 버전 (Log4j 2.3.2, 2.12.4 제외)

 

대응방안

 - Java 8 이상 : Log4j 2.17.1으로 업데이트
 - Java 7 : Log4j 2.12.4으로 업데이트 (업데이트 예정, 참고사이트 [3] 참고)
 - Java 6 : Log4j 2.3.2으로 업데이트 (업데이트 예정, 참고사이트 [3] 참고)

 

조치방법

변경을 하는 방법은 springboot, maven을 사용한다면 pom.xml에서 properties 설정으로 할 수 있다. 

<properties>

    <log4j2.version>2.17.1</log4j2.version> 

    ....

</properties>

 

끝!