log4j 문제

저번 주 즈음인가.. 회사에서 개발하던 거 테스트 중에 log4j 에 대한 이슈를 보게 되었다.

당시에 회사 log4j 버전 확인하고 우리회사는 걱정 없겠다~ 했는데 주말이 지나고 출근해보니 주변이 난리도 아니다..(아빠가 카톡으로 뉴스도 보내줌..)

 

우리 회사는 log4j 1.2.15 버전을 사용하고 있는데 문제가 되고 있는 버전은 2.0-beta9 ~ 2.14.1 모든버전 이다. 

lib 폴더에 있는 log4j 파일 버전 확인

pom.xml 에서도 버전 확인하기

개발보안 수업 때 알게된 CVE를 이렇게 활용하게 되다니..

CVE-2021-44228로, https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228 여기서 내용을 확인할 수 있다.

 

해결방안은 log4j를 2.15 이상으로 업데이트 하는 방법이 있다. (자바 버전은 1.8 이상이어야 함)

추가로 해결방안은 https://www.egovframe.go.kr/home/ntt/nttRead.do?menuNo=74&bbsId=6&nttId=1838 요기서..

 

오늘 서버업체에서 전화왔는데 log4j 때문에 연락 주셨는데 내가 저희는 버전이 1.x 버전이라 괜찮아요..^^ 했다.

하지만 1.x 버전도 문제가 있을 수 있어 곧 버전 업데이트를 해야 할 것 같다.

 

다들 업데이트 하시고 공격에서부터 안전해지세요...