나무위키에 설명이 되어있는 log4j2 문제이다.
현재 Apache Log4j 라이브러리의 보안 취약점 (CVE-2021-44228)이 이슈가 되었다.
내가 가지고 있는 프로젝트에서 문제가 있는 log4j2 라이브러리가 있는지 logpresso의 파일로 확인해보았다.
log4j2 보안취약을 스캐닝 하기 위해 logpresso에서 배포한 파일을 이용했다.
https://github.com/logpresso/CVE-2021-44228-Scanner
운영체제 별로 다운을 받으면 된다.
나는 window x64를 사용하고 있어 해당 os버전으로 다운받았다.
zip파일을 다운 받고 압축을 풀면 .exe파일이 있다.
그 다음, CMD창을 켜고 " log4j2-scan.exe"파일이 있는 경로로 간다.
해당 경로에서
log4j2-scan.exe [검사하고 싶은 자바 Workspace 경로] 를 입력하면 된다.
나는 D:workspace라는 경로에 spring 프로젝트들을 모아두고 있어서 log4j2-scan.exe D:Workspace라고 입력했다.
기다리다 보면, 해당 폴더를 검사하고 결과를 보여준다.
C:\Users\IS-USER\Downloads\logpresso-log4j2-scan-1.2.0-win64>log4j2-scan.exe D:\Workspace
scan error: zip END header not found
scan error: zip END header not found
scan error: zip END header not found
scan error: zip END header not found
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\WebContent\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\.metadata\.plugins\org.eclipse.wst.server.core\tmp2\wtpwebapps\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\.metadata\.plugins\org.eclipse.wst.server.core\tmp0\wtpwebapps\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\.metadata\.plugins\org.eclipse.wst.server.core\tmp3\wtpwebapps\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\WebContent\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\WebContent\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\WebContent\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\WebContent\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\WebContent\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\WebContent\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\.metadata\.plugins\org.eclipse.wst.server.core\tmp0\wtpwebapps\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\WebContent\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\WebContent\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\.metadata\.plugins\org.eclipse.wst.server.core\tmp0\wtpwebapps\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\WebContent\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
Scanned 111448 directories and 557255 files
Found 0 vulnerable files
Completed in 441.19 seconds
보안상 정확한 경로를 지웠지만,
문제가 있는 프로젝트의 경우 Found로 해서 정확한 폴더경로와 함께 문제성에 해당하는 log4j2를 찾아준다!
'Spring' 카테고리의 다른 글
Spring Boot 셋팅하기 - STS (0) | 2022.01.17 |
---|---|
log4j 취약점 해결 방안 (0) | 2021.12.14 |
@Controller , @RestController (0) | 2021.07.13 |
STS github author 변경하기 / 스프링 github 아이디 변경 (2) | 2021.07.13 |
STS 한글깨짐 해결 (0) | 2021.04.08 |