Apache Log4j 란?
로그포제이(log4j)는 자바 기반 로깅 유틸리티로 프로그램으로써 프로그램 작성중 디버깅을 위한 로그를 남기는 경우 사용된다.
발견 날짜 : 2021년 12월 11일
보안 취약점 : 원격코드 실행 취약점(CVE-2021-44228) - CVSS 스코어 10점
보안리스크가 매우 심각하기 때문에 긴급 대응이 필요
로그포제이 취약점 스캐너 다운로드 및 사용방법(로그프레소)
Log4j [로그포제이] 취약점 스캐너 다운로드 및 사용 / 로그프레소
11/24 알리바바 클라우드 보안팀에서 아파치에 통보하여 알려진 로그4쉘 자바에서 원격 코드 실행이 가능한 0-day(CVE-2021-44228)이 확인되었습니다. Log4j[아파치 로그포제이] 취약점 & 해결방법 / r
bebeya.tistory.com
Apache Log4j 조치방법
가장 안전한 방법은 log4j 를 2.15.0 이상으로 올리는 것이다. 하지만 이 방법은 Java 8이 필요하다.
- 영향받는 버전
Apache Log4j 2 2.0 ~ 2.14.1 모든 버전
- 조치 권고
제조사 홈페이지를 통해 최신버전(2.15.0)으로 업데이트 적용
https://logging.apache.org/log4j/2.x/download.html
2.0-beta9 ~ 2.10.0 [업데이트를 못할 경우]
JndLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
2.10 ~ 2.14.1 [업데이트를 못할 경우]
log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정
KISA(키사) 해결방안
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
'IT > TIP' 카테고리의 다른 글
| Log4j [로그포제이] 취약점 스캐너 다운로드 및 사용 / 로그프레소 (0) | 2021.12.21 |
|---|---|
| SecureCRT 크랙, 키젠 무료 설치방법 / Key exchage failed (13) | 2021.12.16 |
| 크롬/익스플로러 인터넷 새 창 열기(띄우기) & 닫기 키보드 단축키 (0) | 2021.11.10 |
| 도메인 고정포워딩 VS 유동포워딩 차이점 (feat. 가비아) (0) | 2021.09.08 |
| 5차 재난지원금 신청방법 "총정리" (0) | 2021.09.07 |
댓글