반응형
Apache 재단의 로깅 프레임워크 Log4j에서 치명적인 취약점(CVE-2021-44228)이 발견되었습니다.
이번 취약점은 Log4j 2에서 JDNI(Java Naming and Directory Inteface) 인젝션에서 원격으로 데이터 제어, 악성코드 등을 심어놓을 수 있다는 것입니다.
현재 깃허브에 해당 문제를 해결하는 PR이 올라왔습니다.
https://github.com/apache/logging-log4j2/pull/608
Restrict LDAP access via JNDI by rgoers · Pull Request #608 · apache/logging-log4j2
Restricts access to LDAP via JNDI.
github.com
기사에 따르면 해당 취약점의 해결 방법은 아래와 같습니다.
(출처 : https://www.boannews.com/media/view.asp?idx=103257)
- 2.0-beta9~2.10.0 버전의 경우 JndLookup 클래스를 경로에서 제거( zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class)
- 2.10~2.14.1 버전은 log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정해야 한다.
- 제조사인 아파치 재단 홈페이지를 통해 최신 버전(2.15.0)으로 업데이트를 적용할 필요가 있다.
역대 최악의 보안 취약점으로 불리는 만큼 빠른 대처를 위해 내용 공유합니다.
반응형
'개발자, 코딩' 카테고리의 다른 글
| [php]Codeigniter 4 Layout 사용하기 - 메뉴바, 푸터 공통 사용 (0) | 2022.01.07 |
|---|---|
| [Spring]스프링 프로젝트 Heroku 에 deploy하기. (0) | 2021.12.18 |
| [js]Google charts.js로 데이터 시각화를 해보자. (0) | 2021.08.08 |
| [python]openpyxl을 이용해서 excel 파일 만들기 (0) | 2021.07.27 |
| [python]파이썬 기초2 - 파이썬 패키지 알아보기 (0) | 2021.07.19 |
