log4j2 보안취약점 조치 대상인지 확인 부탁드립니다.
- 작성자 :
- 황*윤
- 작성일 :
- 2021-12-14 22:02:58
- 조회수 :
- 4,563
- 구분 :
- 개발환경 / 3.7
- 진행상태 :
- 완료
Q
고생이 많으십니다.
log4j2 보안 취약점 조치 요청에 따라 조치 대상인지 확인 부탁드립니다.
현재 lib에 있는 jar 목록입니다.
* log4j-1.3alpha-8.jar
* log4j-over-slf4j-1.7.25.jar
* log4jdbc-log4j2-jdbc4.1-1.16.jar
* logjdbc3-1.1.jar
* logback-classic-1.2.3.jar
* logback-core_1.2.3.jar
* lombok-1.16.20.jar
이상이며,
log4j2-core-xxx.jar 파일이 lib에 없는 것을 확인했습니다.
더불어 pom.xml 파일이 없어 의존성 확인이 어려운 상황입니다.
바쁘시겠지만 확인 부탁드립니다.
log4j2 보안 취약점 조치 요청에 따라 조치 대상인지 확인 부탁드립니다.
현재 lib에 있는 jar 목록입니다.
* log4j-1.3alpha-8.jar
* log4j-over-slf4j-1.7.25.jar
* log4jdbc-log4j2-jdbc4.1-1.16.jar
* logjdbc3-1.1.jar
* logback-classic-1.2.3.jar
* logback-core_1.2.3.jar
* lombok-1.16.20.jar
이상이며,
log4j2-core-xxx.jar 파일이 lib에 없는 것을 확인했습니다.
더불어 pom.xml 파일이 없어 의존성 확인이 어려운 상황입니다.
바쁘시겠지만 확인 부탁드립니다.
환경정보
-
- OS 정보 : windows
- 표준프레임워크 버전 : 3.7
- JDK(JRE) 정보 : 1.8
- WAS 정보 :
- DB 정보 : oracle
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크센터 입니다.
확인해 주신 내용으로는 log4j 1.x 대 버전을 사용중인 것으로 파악됩니다.
그러므로 이번 Apache Log4j 2*에서 발생하는 원격코드 실행 취약점(CVE-2021-44228) 이슈에는 해당 사항이 없으나,
log4j 1.x 버전 사용자의 경우 추가적인 업그레이드 지원 중지로 인해 다른 보안위협에 노출될 가능성이 높아
최신 버전 업데이트 적용을 권고 드리고 있습니다.
개발환경에서 pom.xml 파일이 없는 경우에는
프로젝트의 WEB-INF 하위 lib 디렉토리에서 직접 라이브러리 유무를 파악하셔야 합니다.
기타 다른 문의사항은 아래 url을 통해 확인하여 조치하시기 바랍니다.
- 표준프레임워크 포털 공지사항
https://www.egovframe.go.kr/home/ntt/nttRead.do?menuNo=74&bbsId=6&nttId=1838
- 표준프레임워크 FAQ
https://www.egovframe.go.kr/home/faqinfo/faqinfoRead.do?menuNo=68&faqId=FAQ_0000000000000812
- KISA 보안공지
감사합니다.
표준프레임워크센터 입니다.
확인해 주신 내용으로는 log4j 1.x 대 버전을 사용중인 것으로 파악됩니다.
그러므로 이번 Apache Log4j 2*에서 발생하는 원격코드 실행 취약점(CVE-2021-44228) 이슈에는 해당 사항이 없으나,
log4j 1.x 버전 사용자의 경우 추가적인 업그레이드 지원 중지로 인해 다른 보안위협에 노출될 가능성이 높아
최신 버전 업데이트 적용을 권고 드리고 있습니다.
개발환경에서 pom.xml 파일이 없는 경우에는
프로젝트의 WEB-INF 하위 lib 디렉토리에서 직접 라이브러리 유무를 파악하셔야 합니다.
기타 다른 문의사항은 아래 url을 통해 확인하여 조치하시기 바랍니다.
- 표준프레임워크 포털 공지사항
https://www.egovframe.go.kr/home/ntt/nttRead.do?menuNo=74&bbsId=6&nttId=1838
- 표준프레임워크 FAQ
https://www.egovframe.go.kr/home/faqinfo/faqinfoRead.do?menuNo=68&faqId=FAQ_0000000000000812
- KISA 보안공지
감사합니다.