log4j JMSSink 사용 여부 확인 방법 문의 입니다.
- 작성자 :
- 안*재
- 작성일 :
- 2022-02-04 16:52:31
- 조회수 :
- 2,713
- 구분 :
- 개발환경 / 기타
- 진행상태 :
- 완료
Q
희 회사 제품은 log4j 1버전대를 사용 하고 있는데요
인보나라에 업데이트 내용을 확인해보니
o CVE-2022-23302
- 1.x 버전
※ JMSSink를 사용하지 않는 경우 취약점 영향 없음
o CVE-2022-23305
- 1.x 버전
※ JDBCAppender를 사용하지 않는 경우 취약점 영향 없음
o CVE-2022-23307
- 1.x 버전
※ Chainsaw를 사용하지 않는 경우 취약점 영향 없음
JMSSink, JDBCAppender, Chainsaw 사용하지 않는 경우 취약점 없다고 나와있는데요
저희 회사에서 우리제품에 위의 3가지 클래스 사용여부 확인하라고 하셨는데
해당 클래스 사용여부는 어떻게 판단하나요?
구글링과 여러가지 검색을 하여도 사용여부 판단을 확인하기 어렵네요 ㅠㅠ
인보나라에 업데이트 내용을 확인해보니
o CVE-2022-23302
- 1.x 버전
※ JMSSink를 사용하지 않는 경우 취약점 영향 없음
o CVE-2022-23305
- 1.x 버전
※ JDBCAppender를 사용하지 않는 경우 취약점 영향 없음
o CVE-2022-23307
- 1.x 버전
※ Chainsaw를 사용하지 않는 경우 취약점 영향 없음
JMSSink, JDBCAppender, Chainsaw 사용하지 않는 경우 취약점 없다고 나와있는데요
저희 회사에서 우리제품에 위의 3가지 클래스 사용여부 확인하라고 하셨는데
해당 클래스 사용여부는 어떻게 판단하나요?
구글링과 여러가지 검색을 하여도 사용여부 판단을 확인하기 어렵네요 ㅠㅠ
환경정보
-
- OS 정보 :
- 표준프레임워크 버전 :
- JDK(JRE) 정보 :
- WAS 정보 :
- DB 정보 :
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크센터 입니다.
해당 공지를 확인해 보시면
우선적으로 다음과 같이 Log4j 2.x로 업그레이드를 하도록 하고 있습니다.
※ Apache Log4j 1.x 버전은 2015년 수명이 종료되어 ,1.x 버전 사용자는 Log4j 2로 업그레이드 필요
다음 명령으로
해당 클래스를 삭제 하도록 권고 하고 있습니다.
zip -q -d log4j-*.jar org/apache/log4j/net/JMSSink.class
zip -q -d log4j-*.jar org/apache/log4j/jdbc/JDBCAppender.class
zip -q -d log4j-*.jar org/apache/log4j/chainsaw/*
Log4j 2.x 업그레이드를 우선적으로 고려하시는게 최우선일듯 합니다.
사용여부를 판단하기는 어려울수도 있을듯 하며
가이드대로 위와 같은 방법으로 삭제 하시고
정상동작 여부를 확인하시는게 안전할듯 합니다.
감사합니다.
표준프레임워크센터 입니다.
해당 공지를 확인해 보시면
우선적으로 다음과 같이 Log4j 2.x로 업그레이드를 하도록 하고 있습니다.
※ Apache Log4j 1.x 버전은 2015년 수명이 종료되어 ,1.x 버전 사용자는 Log4j 2로 업그레이드 필요
다음 명령으로
해당 클래스를 삭제 하도록 권고 하고 있습니다.
zip -q -d log4j-*.jar org/apache/log4j/net/JMSSink.class
zip -q -d log4j-*.jar org/apache/log4j/jdbc/JDBCAppender.class
zip -q -d log4j-*.jar org/apache/log4j/chainsaw/*
Log4j 2.x 업그레이드를 우선적으로 고려하시는게 최우선일듯 합니다.
사용여부를 판단하기는 어려울수도 있을듯 하며
가이드대로 위와 같은 방법으로 삭제 하시고
정상동작 여부를 확인하시는게 안전할듯 합니다.
감사합니다.