Apache log4j2 취약점 문제(CVE-2021-44228)의 해결방안을 찾아보았다.
먼저, 가지고 있는 프로젝트에서 문제되는 log4j2버전을 사용하고 있는지 확인해보는 것이 필요하다.
1. logpresso라는 툴을 이용해 스캐닝 하는 것이다.
아래의 링크는 실제로 다운받아서 실행해보았다!
logpresso 사용법 / log4j2 보안취약 / log4j2 보안취약 스캔
나무위키에 설명이 되어있는 log4j2 문제이다. https://namu.wiki/w/2021%EB%85%84%20%EC%9E%90%EB%B0%94%20%EB%B3%B4%EC%95%88%20%EC%B7%A8%EC%95%BD%EC%A0%90%20%EC%82%AC%ED%83%9C 현재 Apache Log4j 라이브러..
jin2rang.tistory.com
2. 만약 log4j2 버전에 문제가 있다면 다음과 같은 방법으로 해결을 하면된다.
- 버전 2.0-beta9 ~ 2.10.0
JndLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar
org/apache/logging/log4j/core/lookup/JndiLookup.class - 버전 2.10 ~ 2.14.1
log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정 - Apache홈페이지를 통해서 최신버전인 2.15.0버전으로 업데이트 적용
https://logging.apache.org/log4j/2.x/download.html
Log4j – Download Apache Log4j 2
<!-- Licensed to the Apache Software Foundation (ASF) under one or more contributor license agreements. See the NOTICE file distributed with this work for additional information regarding copyright ownership. The ASF licenses this file to You under the Apa
logging.apache.org
'Spring' 카테고리의 다른 글
| lombok 설치하기 / spring lombok / sts lombok 설치 (0) | 2022.03.14 |
|---|---|
| Spring Boot 셋팅하기 - STS (0) | 2022.01.17 |
| logpresso 사용법 / log4j2 보안취약 / log4j2 보안취약 스캔 (0) | 2021.12.13 |
| @Controller , @RestController (0) | 2021.07.13 |
| STS github author 변경하기 / 스프링 github 아이디 변경 (2) | 2021.07.13 |
