JAVA
[JAVA] Log4j 취약점 (CVE-2021-44228) 조치방법
log4j는 오픈소스 라이브러리로 로깅을 해주는 도구입니다. 컴퓨터 역사상 최악일지도 모른다는 취약점인데, CVSS 스코어 10점으로 가장 높은 심각성을 보여주고 있죠. 공격자는 해당 취약점을 이용하여 악성코드 감염 등의 피해를 발생시킬수 있으므로 조치가 필수이다. 영향도 버전 : 2.0 beta9 ~ 2.14.1(1.x 버전은 영향없음) 2.7 이상 사용 시 log4j설정에서 PatternLayout 의 %m 부분을 %m{nolookups} 로 교체한다. 2.16.0 이상에서는 %m을 사용해도 자동으로 nolookups로 처리된다. 2.10 이상 버전 사용 시 JAVA 환경변수 -Dlog4j2.formatMsgNoLookups=true 또는 시스템 환경 변수 LOG4J_FORMAT_MSG_NO_LOOK..
2021. 12. 15. 13:44