지긋지긋.. log4j 관련 보안취약점이 끊임없이 나오고 있다. KISA 인터넷 보호나라&KrCERT KISA 인터넷 보호나라&KrCERT www.boho.or.kr 여기서 2021.12.29일자로 새로운 log4j 보안취약점 조치사항에 대해 잘 나와있다. 요약하자면 주요내용 Apache Log4j 2에서 발생하는 원격코드 실행 취약점(CVE-2021-44832) 영향을 받는 버전 CVE-2021-44832 - 2.0-beta9 ~ 2.17.0 버전 (Log4j 2.3.2, 2.12.4 제외) 대응방안 - Java 8 이상 : Log4j 2.17.1으로 업데이트 - Java 7 : Log4j 2.12.4으로 업데이트 (업데이트 예정, 참고사이트 [3] 참고) - Java 6 : Log4j 2.3.2으로 ..
log4j2, log4j, logback 보안 취약점 조치사항
최근 이슈가 되고 있는 log 관련 보안 이슈들은 많은 개발자들을 괴롭히고 있다. 치명적인 취약점이다 보니 빠른 조치가 이루어져야 하고 보안 종사자들이 빠르게 대응을 해서 이제 어떻게 조치를 해야 하는지 대략적인 윤곽이 나왔다. 필자도 log4j, log4j2, logback에 대한 조치내용을 전달받아 다음과 같이 조치를 하였다. log4j 그냥 log4j라고 하면 log4j 관련 라이브러리가 1.x 버전을 뜻한다. log4j는 JMSAppender를 사용하는가 안하는가가 관건이다. JMSAppender를 사용한다면 사용을 중지하거나 안전한 log4j2로 migration을 해야 한다. JMSAppender는 보통 log4j.xml에서 설정을 하지만 web.xml 같은 곳에서 log파일의 위치나 이름을 ..