728x90
반응형
2021년 12월 11일부로 Log4j에서 보안 취약점 이슈가 발견되었다.
Log4J의 log4j-core에서 발견된 이슈인데, 2.x ~ 2.14 버전까지 발생하는 이슈라고 한다.
mvnrepository에서 보면 2버전만 있는데, 해당 버전 모두 보안 이슈가 발생하여 2.15 버전으로 업그레이드하는 것을 권장한다.
위키 백과에 따르면 자바 디렉토리 관련 인터페이스인 JNDI에서 발생했다고 밝혀지며,
user-agent나 기타 다른 헤더에 해커의 원격 코드 URL을 넣게 되면 JNDI가 해당 URL을 출력하는 과정에서 실행하게 되어 원격코드 실행 발생한다고 한다.(RCE => Remote Code Excute)
300x250
다행히 우리 회사의 프로젝트는 Spring 기반 프로젝트는 logback을 사용하고, 보안 이슈가 발생한 버전이 아니었지만 꽤나 심각한 보안 이슈로 여러 군데에서 긴급 메일이 오기도 했다.
해결방안
해결 방안은 java를 실행할 때
-Dlog4j2.formatMsgNoLookups=true
속성을 넣어주면 된다.
ex:)
java -Dlog4j2.formatMsgNoLookups=true -jar MyProject.jar
혹은 2.15버전으로 업그레이드한다.
참고 :
728x90
728x90
'Java' 카테고리의 다른 글
| JAVA]배열,ArrayList,List 스트림 정렬 및 타입 변환 방법 정리 (0) | 2022.02.19 |
|---|---|
| Java 회전된 문자열인지 확인하기 (0) | 2022.01.30 |
| spring,java]JPA를 이용한 API서버 (0) | 2021.11.30 |
| spring,java]스프링 Quartz 스케줄러 사용하기(배치) (0) | 2021.08.18 |
| SpringBoot,React]스프링 실행시 리액트 서버 자동 실행 , 빌드시 같이 빌드하기 (0) | 2021.08.06 |
댓글