log4j 1.x 버전 취약점 대상인가요?
- 작성자 :
- 김*진
- 작성일 :
- 2022-01-05 11:17:58
- 조회수 :
- 2,617
- 구분 :
- 개발환경 / 3.9
- 진행상태 :
- 완료
Q
안녕하세요.
저번 log4j-core 관련 취약점이 발생한 후
긴급조치로 core 안의 class파일 제거를 하는 방향으로 조치를 했었습니다.
이번에 새로운 공문이 내려왔는데
추가취약점 CVE-2021-4104( 해당버전 1.x버전 )가 발견되어서 재조치를 하라고 하더라구요.
현재 자주하는질문에 나와있는대로 maven 업데이트를 통해 log4j를 새로 다운로드 받았는데요.
스크린샷에 보이는것처럼 log4j-1.2.14 가 포함되어있고
core 관련 jar 파일도 2.10 ~ 2.17 까지 4개가 포함되어있는 상황입니다.
이 소스 그대로 반영을 하면 되는건가요?
아니면 core부분은 2.17을 뺴고 나머지 3개를 삭제하고
log4j.1.2.14 버전도 업그레이드를 진행 해줘야 하는건가요??
새해복많이받으세요.
저번 log4j-core 관련 취약점이 발생한 후
긴급조치로 core 안의 class파일 제거를 하는 방향으로 조치를 했었습니다.
이번에 새로운 공문이 내려왔는데
추가취약점 CVE-2021-4104( 해당버전 1.x버전 )가 발견되어서 재조치를 하라고 하더라구요.
현재 자주하는질문에 나와있는대로 maven 업데이트를 통해 log4j를 새로 다운로드 받았는데요.
스크린샷에 보이는것처럼 log4j-1.2.14 가 포함되어있고
core 관련 jar 파일도 2.10 ~ 2.17 까지 4개가 포함되어있는 상황입니다.
이 소스 그대로 반영을 하면 되는건가요?
아니면 core부분은 2.17을 뺴고 나머지 3개를 삭제하고
log4j.1.2.14 버전도 업그레이드를 진행 해줘야 하는건가요??
새해복많이받으세요.
환경정보
-
- OS 정보 : linux
- 표준프레임워크 버전 : 3.9
- JDK(JRE) 정보 : 1.8
- WAS 정보 : jboss
- DB 정보 : cubrid
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크센터 입니다.
log4j-core가 조치대상입니다.
다만 log4j 1.x의 경우 아파치 재단의 기술지원이 종료되어
용하지 않거나 2.x로 업그레이드 대상입니다.
다양한 버전이 혼재하여 존재하는 것으로 보이므로
최신버전만 존재 하도록 하고 삭제 하시는것이 맞습니다.
가급적 pom.xml을 사용하시는것이
의존성 관리에 유리하며 편리합니다.
다음 자주묻는 질문을 확인하실수 있습니다.
https://www.egovframe.go.kr/home/faqinfo/faqinfoRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=68&faqId=FAQ_0000000000000812
감사합니다.
표준프레임워크센터 입니다.
log4j-core가 조치대상입니다.
다만 log4j 1.x의 경우 아파치 재단의 기술지원이 종료되어
용하지 않거나 2.x로 업그레이드 대상입니다.
다양한 버전이 혼재하여 존재하는 것으로 보이므로
최신버전만 존재 하도록 하고 삭제 하시는것이 맞습니다.
가급적 pom.xml을 사용하시는것이
의존성 관리에 유리하며 편리합니다.
다음 자주묻는 질문을 확인하실수 있습니다.
https://www.egovframe.go.kr/home/faqinfo/faqinfoRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=68&faqId=FAQ_0000000000000812
감사합니다.