log4j 취약점 해결

log4j 취약점 해결

https://news.v.daum.net/v/20211211181030002?x_trkm=t

이번에 뉴스가 떴다. 바로 log4j 취약성 발견된 것. 우리회사에서도 대부분 사용하고 있어서 바로 작업에 들어가야했다

우선 취약점이 있는지 아래로 확인해보자

위 api실행결과 취약성이 있을 경우는 아래처럼 JNDI 연결을 시도한다.

취약성이 없을 경우 JNDI 연결 정보가 그냥 출력된다.

취약성이 있다고 나오건 없다고 나오던간에 log4j 사용하는 플젝이라면 일단 조치를 취해보자..

Maven 사용 시:

1. 내 플젝에서 사용하는 log4j 버전을 아래 명령어로 확인해보자 (나는 2.14 나왔음..) 버전을 2.15.0으로 올려야한다.

./mvnw dependency:list | grep log4j

2. pom.xml에 아래를 추가

2.15.0

3. 다시 한 번 아래 명령어로 확인해보니 2.15.0로 올려진 것을 확인!!

./mvnw dependency:list | grep log4j

Gradle 사용 시:

1. build.gradle 에서 log4j 버전을 아래처럼 명시한다.

ext['log4j2.version'] = '2.15.0'

그리고 버전이 2.15.0으로 잘 업데이트 되었는지 확인하자

참고할 log4j2 취약성과 스픙링 부트 사이트:

https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

from http://jiwontip.tistory.com/82 by ccl(A) rewrite - 2021-12-13 11:27:14