본문 바로가기

Spring

logpresso 사용법 / log4j2 보안취약 / log4j2 보안취약 스캔

나무위키에 설명이 되어있는 log4j2 문제이다.

https://namu.wiki/w/2021%EB%85%84%20%EC%9E%90%EB%B0%94%20%EB%B3%B4%EC%95%88%20%EC%B7%A8%EC%95%BD%EC%A0%90%20%EC%82%AC%ED%83%9C

 

현재 Apache Log4j 라이브러리의 보안 취약점 (CVE-2021-44228)이 이슈가 되었다. 

내가 가지고 있는 프로젝트에서 문제가 있는 log4j2 라이브러리가 있는지 logpresso의 파일로 확인해보았다.


 

log4j2 보안취약을 스캐닝 하기 위해 logpresso에서 배포한 파일을 이용했다.

https://github.com/logpresso/CVE-2021-44228-Scanner

 

GitHub - logpresso/CVE-2021-44228-Scanner: Vulnerability scanner and mitigation patch for Log4j2 CVE-2021-44228

Vulnerability scanner and mitigation patch for Log4j2 CVE-2021-44228 - GitHub - logpresso/CVE-2021-44228-Scanner: Vulnerability scanner and mitigation patch for Log4j2 CVE-2021-44228

github.com

 


운영체제 별로 다운을 받으면 된다.

나는 window x64를 사용하고 있어 해당 os버전으로 다운받았다.


zip파일을 다운 받고 압축을 풀면 .exe파일이 있다.


그 다음, CMD창을 켜고 " log4j2-scan.exe"파일이 있는 경로로 간다.

 

해당 경로에서
log4j2-scan.exe [검사하고 싶은 자바 Workspace 경로]   를 입력하면 된다.

나는 D:workspace라는 경로에 spring 프로젝트들을 모아두고 있어서 log4j2-scan.exe D:Workspace라고 입력했다.

 

기다리다 보면, 해당 폴더를 검사하고 결과를 보여준다.

C:\Users\IS-USER\Downloads\logpresso-log4j2-scan-1.2.0-win64>log4j2-scan.exe D:\Workspace
scan error: zip END header not found
scan error: zip END header not found
scan error: zip END header not found
scan error: zip END header not found
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\WebContent\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\.metadata\.plugins\org.eclipse.wst.server.core\tmp2\wtpwebapps\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\.metadata\.plugins\org.eclipse.wst.server.core\tmp0\wtpwebapps\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\.metadata\.plugins\org.eclipse.wst.server.core\tmp3\wtpwebapps\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\WebContent\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\WebContent\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\WebContent\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\WebContent\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\WebContent\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\WebContent\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\.metadata\.plugins\org.eclipse.wst.server.core\tmp0\wtpwebapps\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\WebContent\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\WebContent\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\.metadata\.plugins\org.eclipse.wst.server.core\tmp0\wtpwebapps\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2
[*] Found CVE-2021-44228 vulnerability in D:\Workspace\WebContent\WEB-INF\lib\log4j-core-2.2.jar, log4j 2.2

Scanned 111448 directories and 557255 files
Found 0 vulnerable files
Completed in 441.19 seconds

 

 

 

보안상 정확한 경로를 지웠지만, 
문제가 있는 프로젝트의 경우 Found로 해서 정확한 폴더경로와 함께 문제성에 해당하는 log4j2를 찾아준다!

'Spring' 카테고리의 다른 글

Spring Boot 셋팅하기 - STS  (0) 2022.01.17
log4j 취약점 해결 방안  (0) 2021.12.14
@Controller , @RestController  (0) 2021.07.13
STS github author 변경하기 / 스프링 github 아이디 변경  (2) 2021.07.13
STS 한글깨짐 해결  (0) 2021.04.08