내 블로그 원본 게시글
https://blog.naver.com/jisoo___/222594104218
[log4j2] 긴급 보안 이슈 log4j 라이브러리 버전 확인
#전자정부프레임워크log4j #log4j보안이슈 전혀 몰랐는데 지금 아파치에 log4j2 보안 이슈로 떠들썩하단다....
blog.naver.com
전혀 몰랐는데 지금 아파치에 log4j2 보안 이슈로 떠들썩하단다.. 오늘 출근해서 암..
logback, log4j 1.x버전에 대한 얘기는 없는 걸보니 공지된 log4j 2.x버전의 문제인듯 하다
무튼 빠르게 log4j 버전확인이 필요한 분들을 위해!!
pom에서 log4j를 추가하지않았는데도 Maven Dependency에 있다면 다른 라이브러리에서 참조하는 경우이다
먼저 이걸 확인하려면
pom.xml 의 하단 탭 중 Dependency Hierarchy로 들어간다
filter에 log4j 검색 후 왼쪽 리스트에 나오는지 확인해본다
다음과 같이 해당하는 라이브러리 정보가 나오고 어떤 라이브러리에서 가져오는지 확인가능하다
위와 같이 2.1.0 인 경우 지금 취약점이 발견된 버전이므로 2.15로 업그레이드해줘야한다
근데 log4j를 안쓰거나 혹은 저 버전이 아닌 다른버전을 쓴다 등등
log4j의 충돌, 중복이 있다면 상위 라이브러리에서 exclusion 선언을 통해 제외시켜줘야한다
egovframework.rte.psl.dataaccess에서 의도치않은 logging, log4j-core 2.1을 컴파일했는데
아래와 같이 exclusion을 추가해주면 하위 라이브러리가 제외된다
log4j 2.15버전을 추가해야하기 때문에 같은방식으로 충돌되는 log4j를 모두 없애준다.
<dependency>
<groupId>egovframework.rte</groupId>
<artifactId>egovframework.rte.psl.dataaccess</artifactId>
<version>${egovframework.rte.version}</version>
<exclusions>
<exclusion>
<groupId>egovframework.rte</groupId>
<artifactId>egovframework.rte.fdl.logging</artifactId>
</exclusion>
</exclusions>
</dependency>
그리고 log4j 2.15버전 넣어주기
<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core -->
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.15.0</version>
</dependency>
그러면 일단 pom 설정은 완료.. 이제 기존에 작성해두었던 자바 코드, 설정 등을 하나하나 수정해줘야한다
이번 보안 이슈가 매우 심각한 상태라고 하니 임시조치라도 취해놔야된다는데...
내 선에서 해결할 문제는 아니지만 열심히 알아보았다!
더 자세한 내용을 확인하려면 아래 사이트에서 확인!!!
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr