log4j는 오픈소스 라이브러리로 로깅을 해주는 도구입니다.
컴퓨터 역사상 최악일지도 모른다는 취약점인데, CVSS 스코어 10점으로 가장 높은 심각성을 보여주고 있죠.
공격자는 해당 취약점을 이용하여 악성코드 감염 등의 피해를 발생시킬수 있으므로 조치가 필수이다.
영향도 버전 : 2.0 beta9 ~ 2.14.1(1.x 버전은 영향없음)
- 2.7 이상 사용 시 log4j설정에서 PatternLayout 의 %m 부분을 %m{nolookups} 로 교체한다. 2.16.0 이상에서는 %m을 사용해도 자동으로 nolookups로 처리된다.
- 2.10 이상 버전 사용 시 JAVA 환경변수 -Dlog4j2.formatMsgNoLookups=true 또는 시스템 환경 변수 LOG4J_FORMAT_MSG_NO_LOOKUPS=true 설정 한다.
- log4j 를 2.15.0 이상 으로 업그레이드 한다.
- JNDI Lookup 을 disable 한다. log4j-core artifact 에서 JndiLookup 클래스를 제거 하거나 log4j 를 2.16.0 으로 업그레이드 한다. (Disable JNDI by default)
Apache Log4j 2 보안 업데이트 권고
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
