https://news.v.daum.net/v/20211211181030002?x_trkm=t
"컴퓨터 사상 최악의 취약점 발견됐다".. 전세계 보안업계 '발칵'
거의 모든 인터넷 서버에서 광범위하게 사용되는 소프트웨어에 치명적 보안 취약점이 발견돼 전 세계 사이버 보안 업계가 발칵 뒤집혔다. 게임이나 클라우드 서버를 운영하는 정보기술(IT) 기업
news.v.daum.net
이번에 뉴스가 떴다. 바로 log4j 취약성 발견된 것. 우리회사에서도 대부분 사용하고 있어서 바로 작업에 들어가야했다
우선 취약점이 있는지 아래로 확인해보자
위 api실행결과 취약성이 있을 경우는 아래처럼 JNDI 연결을 시도한다.
취약성이 없을 경우 JNDI 연결 정보가 그냥 출력된다.
취약성이 있다고 나오건 없다고 나오던간에 log4j 사용하는 플젝이라면 일단 조치를 취해보자..
Maven 사용 시:
1. 내 플젝에서 사용하는 log4j 버전을 아래 명령어로 확인해보자 (나는 2.14 나왔음..) 버전을 2.15.0으로 올려야한다.
./mvnw dependency:list | grep log4j
2. pom.xml에 아래를 추가
<properties>
<log4j2.version>2.15.0</log4j2.version>
</properties>3. 다시 한 번 아래 명령어로 확인해보니 2.15.0로 올려진 것을 확인!!
./mvnw dependency:list | grep log4j
Gradle 사용 시:
1. build.gradle 에서 log4j 버전을 아래처럼 명시한다.
ext['log4j2.version'] = '2.15.0'그리고 버전이 2.15.0으로 잘 업데이트 되었는지 확인하자
참고할 log4j2 취약성과 스픙링 부트 사이트:
https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
'Spring' 카테고리의 다른 글
| 스프링 부트 애플리케이션 실행하는 여러 방법 (jar 파일 실행 등등) (0) | 2023.04.25 |
|---|---|
| Spring Boot에 Let's Encrypt SSL 적용하기 (1) | 2021.12.28 |
| Mybatis 파라미터를 DTO 혹은 Map형식으로 받기 (0) | 2021.04.14 |
| 스프링 부트 & 타임리프로 개발 시 캐시 먹히는 문제 (0) | 2021.03.11 |
| 스프링(Spring)에서 세션(Session) 적용하기 (0) | 2021.03.11 |