log4j2 보안 취약성 발생!

2021. 12. 14. 17:24OpenSource/log4j&slf4j

반응형

Apache Log4j 2*에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)[2]

https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389

log4j2가 사용하는 곳이 많다.
특히나 오픈소스등에 많다.

apache storm , es , logstash등등..

아래는 es 버전별 log4j 디펜던시 버전 정보이다.
정리해주신분 감사! (출처)

 - 조치방법
      ※ (2.0-beta9 ~ 2.10.0) JndiLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
      ※ (2.10 ~ 2.14.1) log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정
      ※ (2.7 ~ 2.14.1) 로그 출력 시 %m 대신 %m{nolookups} 포맷으로 수정 (patternLayout 패턴 수정)

※ 아파치 스톰의 경우는 storm/log4j2 dir 밑에 있는 cluster.xml, worker.xml 에서 패턴을 수정해주면 된다.
※ 위의 방법을 우회하는게 나와서 패턴을 수정하는것 말고 아래처럼 storm/lib로 가서 아래의 명령어를 통해 JNDI를 삭제 한다.
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

zip명령어를 사용할수 없다고 나오면 install 해준다.
ex) CentOS : sudo yum install zip -y

 

  끝.

추신 : log4j2를 설정하지 말자ㅋㅋ
2014.05.29 - [OpenSource/log4j&slf4j] - log4j2 를 설정 해보자!

반응형
LIST