log4j대응관련 문의드립니다.
- 작성자 :
- e*
- 작성일 :
- 2022-02-09 12:07:11
- 조회수 :
- 2,137
- 구분 :
- 기타
- 진행상태 :
- 완료
Q
log4j-core라는 파일이 아예 없을 경우 취약 대상이 아닌가요?
아래 알려주신 대로 확인해보니
* 개발환경에서 확인
이클립스 개발환경에서는 pom.xml파일을 오픈한후
Dependency Hierarchy 탭을 오픈한후 목록에서 log4j-core : 2.X.X가 있는지 확인합니다. --> log4j-core이 아니고 log4j:1.2.15 와 log4j:1.2.17 만 있습니다.
최종적으로 적용되는 버전은 "Resolved Dependency"목록에서 확인 가능합니다. --> log4j:1.2.15로 표기 되어있습니다.
또는 이클립스 개발환경에서 Maven Dependency 항목의 목록에서
log4j-core-2.X.X.jar 파일이 있는지 확인 합니다.
* 운영환경에서 확인
WAS 서버에서 웹프로젝트가 배포된 디렉토리에서
WEB-INF/lib 디렉토리에서 log4j-core-2.X.X.jar 파일이 있는지 확인 합니다. --> log4j-core파일이 아예 없습니다.
아래 알려주신 대로 확인해보니
* 개발환경에서 확인
이클립스 개발환경에서는 pom.xml파일을 오픈한후
Dependency Hierarchy 탭을 오픈한후 목록에서 log4j-core : 2.X.X가 있는지 확인합니다. --> log4j-core이 아니고 log4j:1.2.15 와 log4j:1.2.17 만 있습니다.
최종적으로 적용되는 버전은 "Resolved Dependency"목록에서 확인 가능합니다. --> log4j:1.2.15로 표기 되어있습니다.
또는 이클립스 개발환경에서 Maven Dependency 항목의 목록에서
log4j-core-2.X.X.jar 파일이 있는지 확인 합니다.
* 운영환경에서 확인
WAS 서버에서 웹프로젝트가 배포된 디렉토리에서
WEB-INF/lib 디렉토리에서 log4j-core-2.X.X.jar 파일이 있는지 확인 합니다. --> log4j-core파일이 아예 없습니다.
환경정보
-
- OS 정보 :
- 표준프레임워크 버전 :
- JDK(JRE) 정보 :
- WAS 정보 :
- DB 정보 :
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크센터 입니다.
Log4j v2.x를 사용하지 않고
v1.x대를 사용하시는 것으로 보입니다.
다음 KISA 공지를 보시면
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36397
다음과 같이 공지하고 있습니다.
※ Apache Log4j 1.x 버전은 2015년 수명이 종료되어 ,1.x 버전 사용자는 Log4j 2로 업그레이드 필요
Log4j 2 최신 패지버전으로 업그레이드를 하시는게 최선입니다.
여의치 않은경우 임시조치로
다음과 같이 조치하셔야 합니다.
- CVE-2022-23302
· JMSSink 클래스 파일 삭제
zip -q -d log4j-*.jar org/apache/log4j/net/JMSSink.class
- CVE-2022-23305
· Log4j 설정 파일에서 JDBCAppender 삭제
· JDBCAppender 클래스 파일 삭제
zip -q -d log4j-*.jar org/apache/log4j/jdbc/JDBCAppender.class
- CVE-2022-23307
· Chiansaw를 통해 직렬화 된 로그를 읽지 않도록 설정 (※ XMLSocketReceiver로 대체 가능)
· Chainsaw 관련 클래스 삭제
zip -q -d log4j-*.jar org/apache/log4j/chainsaw/*
- CVE-2021-44228, CVE-2021-45046
· JndiLookup 클래스를 경로에서 제거
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
그외에
다음 자주묻는 질문을 확인하실수 있습니다.
https://www.egovframe.go.kr/home/faqinfo/faqinfoRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=68&faqId=FAQ_0000000000000812
감사합니다.
표준프레임워크센터 입니다.
Log4j v2.x를 사용하지 않고
v1.x대를 사용하시는 것으로 보입니다.
다음 KISA 공지를 보시면
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36397
다음과 같이 공지하고 있습니다.
※ Apache Log4j 1.x 버전은 2015년 수명이 종료되어 ,1.x 버전 사용자는 Log4j 2로 업그레이드 필요
Log4j 2 최신 패지버전으로 업그레이드를 하시는게 최선입니다.
여의치 않은경우 임시조치로
다음과 같이 조치하셔야 합니다.
- CVE-2022-23302
· JMSSink 클래스 파일 삭제
zip -q -d log4j-*.jar org/apache/log4j/net/JMSSink.class
- CVE-2022-23305
· Log4j 설정 파일에서 JDBCAppender 삭제
· JDBCAppender 클래스 파일 삭제
zip -q -d log4j-*.jar org/apache/log4j/jdbc/JDBCAppender.class
- CVE-2022-23307
· Chiansaw를 통해 직렬화 된 로그를 읽지 않도록 설정 (※ XMLSocketReceiver로 대체 가능)
· Chainsaw 관련 클래스 삭제
zip -q -d log4j-*.jar org/apache/log4j/chainsaw/*
- CVE-2021-44228, CVE-2021-45046
· JndiLookup 클래스를 경로에서 제거
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
그외에
다음 자주묻는 질문을 확인하실수 있습니다.
https://www.egovframe.go.kr/home/faqinfo/faqinfoRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=68&faqId=FAQ_0000000000000812
감사합니다.