Apache Log4j 취약점 발견(CVE-2021-44228)

Log4j 는 자바어플리케이션을 개발할때 로그를 기록해주는 라이브러리로 자바진영에서는 거의 표준처럼 사용되어 왔었다.

당연히 SpringBoot 프레임워크에서도 기본 로깅 라이브러리로 Log4j가 설정되어 있다. (정확히는 Log4j 2.x 버전이다.)

이번에 발견된 취약점은 자바의 JNDI 기능을 이용하여 데이터 탈취 및 원격으로 악성코드를 실행이 가능하다는 점이다. (위험도가 10점인 이유가 있다.;;;)

나무위키의 자세한 기록

https://namu.wiki/w/Log4j%20%EB%B3%B4%EC%95%88%20%EC%B7%A8%EC%95%BD%EC%A0%90%20%EC%82%AC%ED%83%9C?from=2021%EB%85%84%20%EC%9E%90%EB%B0%94%20%EB%B3%B4%EC%95%88%20%EC%B7%A8%EC%95%BD%EC%A0%90%20%EC%82%AC%ED%83%9C 

 

간단한 해결방법

• JDK 1.7 을 사용하고 있으면 Log4j 2.12.2 으로 업데이트
• JDK 1.8 을 사용하고 있으면 Log4j 2.16.0 이상으로 업데이트를 하면 된다.

KISA 홈페이지에서는 버전별로 해결방법이 자세히 기록되어 있다.

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389 

KISA 인터넷 보호나라&KrCERT

 

Log4j 를 사용하는 여러 사이트들에서 해결방안 가이드도 많이 등록된 것 같다.

SpringBoot - https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

AWS - https://aws.amazon.com/ko/blogs/korea/aws-security-bulletins-cve-2021-44228/