log4j 취약점 조치 중 JndiLookup 클래스 삭제가 불가능한 경우 문의드립니다.
- 작성자 :
- 윤*환
- 작성일 :
- 2021-12-15 14:34:53
- 조회수 :
- 3,544
- 구분 :
- 공통컴포넌트 / 기타
- 진행상태 :
- 완료
Q
안녕하세요.
JDK 6 를 사용하고 있어 log4j 버전을 2.7 이상으로 올릴 수 없는 경우,
이번 log4j 취약점을 조치하기 위해서는 JndiLookup 클래스를 core 라이브러리 jar 파일에서 제거하는 방법 밖에 없다고 알고있습니다.
그러나 일부 WAS(제우스 웹로직 등) 에서 JndiLookup 클래스를 호출하여 오류가 발생하는 경우가 있습니다.
이에 첨부한 파일처럼 더미 JndiLookup 클래스파일을 만들어 교체한 후 적용을 해보았더니 잘 동작되는 것을 확인했습니다.
공지에는 삭제 말고는 방법이 없다고 되어있는데 이런식으로 조치해도 되는 것인지 문의드립니다.
JDK 6 를 사용하고 있어 log4j 버전을 2.7 이상으로 올릴 수 없는 경우,
이번 log4j 취약점을 조치하기 위해서는 JndiLookup 클래스를 core 라이브러리 jar 파일에서 제거하는 방법 밖에 없다고 알고있습니다.
그러나 일부 WAS(제우스 웹로직 등) 에서 JndiLookup 클래스를 호출하여 오류가 발생하는 경우가 있습니다.
이에 첨부한 파일처럼 더미 JndiLookup 클래스파일을 만들어 교체한 후 적용을 해보았더니 잘 동작되는 것을 확인했습니다.
공지에는 삭제 말고는 방법이 없다고 되어있는데 이런식으로 조치해도 되는 것인지 문의드립니다.
환경정보
-
- OS 정보 : AIX 6.1
- 표준프레임워크 버전 : 3.0.0
- JDK(JRE) 정보 : OpenJDK (sr16fp2) 1.6
- WAS 정보 : JEUS 6.0 fix 8
- DB 정보 : tibero 4 sp1
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크센터입니다.
제보해 주신 방법이 상당히 타당한 방법이나
아파치 재단에서 가이드하는 내용이 아니라서
확증해 드리기는 어려울듯 합니다.
내용 제보에 감사드립니다.
* 아파치 재단 가이드 내용 참조
https://logging.apache.org/log4j/2.x/security.html
그외에
다음 자주묻는 질문을 확인하실수 있습니다.
https://www.egovframe.go.kr/home/faqinfo/faqinfoRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=68&faqId=FAQ_0000000000000812
감사합니다.
표준프레임워크센터입니다.
제보해 주신 방법이 상당히 타당한 방법이나
아파치 재단에서 가이드하는 내용이 아니라서
확증해 드리기는 어려울듯 합니다.
내용 제보에 감사드립니다.
* 아파치 재단 가이드 내용 참조
https://logging.apache.org/log4j/2.x/security.html
그외에
다음 자주묻는 질문을 확인하실수 있습니다.
https://www.egovframe.go.kr/home/faqinfo/faqinfoRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=68&faqId=FAQ_0000000000000812
감사합니다.