Apache Log4j 2*에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)[2]
https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389
log4j2가 사용하는 곳이 많다.
특히나 오픈소스등에 많다.
apache storm , es , logstash등등..
아래는 es 버전별 log4j 디펜던시 버전 정보이다.
정리해주신분 감사! (출처)
- 조치방법
※ (2.0-beta9 ~ 2.10.0) JndiLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
※ (2.10 ~ 2.14.1) log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정
※ (2.7 ~ 2.14.1) 로그 출력 시 %m 대신 %m{nolookups} 포맷으로 수정 (patternLayout 패턴 수정)
※ 아파치 스톰의 경우는 storm/log4j2 dir 밑에 있는 cluster.xml, worker.xml 에서 패턴을 수정해주면 된다.
※ 위의 방법을 우회하는게 나와서 패턴을 수정하는것 말고 아래처럼 storm/lib로 가서 아래의 명령어를 통해 JNDI를 삭제 한다.
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
zip명령어를 사용할수 없다고 나오면 install 해준다.
ex) CentOS : sudo yum install zip -y
끝.
추신 : log4j2를 설정하지 말자ㅋㅋ
2014.05.29 - [OpenSource/log4j&slf4j] - log4j2 를 설정 해보자!
'OpenSource > log4j&slf4j' 카테고리의 다른 글
| log4j2 를 설정 해보자! (0) | 2014.05.29 |
|---|---|
| 통합 log 관련 테스트- AsyncAppender (0) | 2014.03.13 |
| [Local] 통합log 처리 방법, log4j, SocketAppender + SocketHubAppender (3) | 2014.02.18 |
| [log4j viewer] otroslogviewer (SocketHub 사용) (0) | 2014.02.07 |
| log4j를 알아보자 (0) | 2014.01.09 |
