Log4J 임시 조치 방안
- 작성자 :
- M*N
- 작성일 :
- 2021-12-20 15:37:41
- 조회수 :
- 2,597
- 구분 :
- 개발환경 / 3.8
- 진행상태 :
- 완료
Q
공지사항에서 2.x 버전에서는 임시 조치 방안으로 아래의 두가지 방안이 안내 되어있습니다.
두가지 방안을 모두 작업해야하는지 [JndiLookup 클래스 제거] 만으로도 임시 조치가 되는지 문의 드립니다.
※ [JndiLookup 클래스 제거]로 임시 조치 후 [Log4j 2.17.0으로 업데이트] 예정
o 2.x 버전에서 JndiLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
o 2.x 버전에서 다음 설정을 사용하는 경우 아래의 조치방안으로 조치 적용
- PatternLayout에서 ${ctx:loginId} 또는 $${ctx:loginId}를 (%X, %mdc, or %MDC)로 변경
- ${ctx:loginId} 또는 $${ctx:loginId}를 제거
두가지 방안을 모두 작업해야하는지 [JndiLookup 클래스 제거] 만으로도 임시 조치가 되는지 문의 드립니다.
※ [JndiLookup 클래스 제거]로 임시 조치 후 [Log4j 2.17.0으로 업데이트] 예정
o 2.x 버전에서 JndiLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
o 2.x 버전에서 다음 설정을 사용하는 경우 아래의 조치방안으로 조치 적용
- PatternLayout에서 ${ctx:loginId} 또는 $${ctx:loginId}를 (%X, %mdc, or %MDC)로 변경
- ${ctx:loginId} 또는 $${ctx:loginId}를 제거
환경정보
-
- OS 정보 :
- 표준프레임워크 버전 : 3.8
- JDK(JRE) 정보 : JDK8
- WAS 정보 :
- DB 정보 :
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크센터입니다.
현재 아파치 재단에서 1주일만에
3번의 패치를 진행하여 배포 되었고 (v2.15.0 , V2.16.0 , v2.17.0)
기재 하신 내용에서
2번째 임시 조치 방안은 새로 발견된 사항으로 새로운 조치 방안이기 때문에
Apache log4j-core V2.17.0 또는 v2.12.3(배포예정)으로 패치 되기 전에는
2가지 모두 조치를 하시는게 맞을듯 합니다.
참고로 해당 내용은 다음 아파치 재단에 공지되어 있습니다.
https://logging.apache.org/log4j/2.x/security.html
그외에
다음 자주묻는 질문을 확인하실수 있습니다.
https://www.egovframe.go.kr/home/faqinfo/faqinfoRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=68&faqId=FAQ_0000000000000812
감사합니다.
표준프레임워크센터입니다.
현재 아파치 재단에서 1주일만에
3번의 패치를 진행하여 배포 되었고 (v2.15.0 , V2.16.0 , v2.17.0)
기재 하신 내용에서
2번째 임시 조치 방안은 새로 발견된 사항으로 새로운 조치 방안이기 때문에
Apache log4j-core V2.17.0 또는 v2.12.3(배포예정)으로 패치 되기 전에는
2가지 모두 조치를 하시는게 맞을듯 합니다.
참고로 해당 내용은 다음 아파치 재단에 공지되어 있습니다.
https://logging.apache.org/log4j/2.x/security.html
그외에
다음 자주묻는 질문을 확인하실수 있습니다.
https://www.egovframe.go.kr/home/faqinfo/faqinfoRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=68&faqId=FAQ_0000000000000812
감사합니다.