applan의 개발 이야기
[이슈해결] log4j 보안 이슈 해결 과정 본문
보안 이슈 ( CVE-2021-44228 )
최초 발견일 : 2021.11.24
최초 발견자 : ( 알리바바 클라우드 보안팀 ) Chen Zhaojun
대응 방안
https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389
현재 log4j의 보안 이슈와 사건이 해외 곳곳에서 퍼지고있다.
한국은 아직 사건이 없지만 미리 조치를 취해야한다고 한다.
주말에 놀고있는 와중에 회사에서 긴급하게 전화가 와서 조치 후 해당 게시물을 작성한다.
* 이클립스 기준
확인 방법은 다음과 같았다.
1. 프로젝트 클릭 후 pom.xml 확인
2. ctrl + f 를 이용해 log4j 검색
-> 우리는 pom.xml에 직접 언급된 log4j는 없었고 slf4j만 사용하고 있었다.
4. 실제 프로젝트에 log4j가 있는지 확인
-> 프로젝트 클릭 후 Java Resources -> Libraries -> Maven Dependencies -> log4j* 관련 라이브러리 모두 확인
-> log4j-api-2.10.0.jar 사용 확인 api만 사용하는 경우는 문제없다고합니다.
-> log4j-core-2.10.0.jar 사용 확인
-> 두 라이브러리 모두 보안 이슈에 문제가 되는 버전으로 확인
-> pom.xml 에 다음 소스 추가
<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core -->
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.15.0</version>
</dependency>
* 다음 방법도 존재한다.
1. pom.xml 다음 소스 추가
<properties>
....
<log4j2.version>2.15.0</log4j2.version>
</properties>이후에도
Java Resources -> Libraries -> Maven Dependencies -> log4j* 관련 라이브러리 버전 변경 확인이 필요하다.
'개발 > Dev.' 카테고리의 다른 글
| [오류해결] HTML canvas 안 나오는 문제 ( width 사용 ) (0) | 2022.08.22 |
|---|---|
| [오류해결] TS2349: This expression is not callable 에러 (0) | 2022.08.22 |
| [오류해결] 터미널 PSSecurityException 에러 (0) | 2022.08.16 |
| [해커톤] 해커톤 도전 근황 (0) | 2022.08.12 |
| [정리] Scrapy 실행 명령어 (0) | 2021.01.12 |
