log4j 관련 질문
- 작성자 :
- 가**라
- 작성일 :
- 2021-12-13 12:31:18
- 조회수 :
- 2,498
- 구분 :
- 개발환경 / 3.7
- 진행상태 :
- 완료
Q
안녕하세요
이번 취약점 관련 패치 중에 질문이 있습니다.
아래 첨부된 수정전 파일은 현재
<dependency>
<groupId>egovframework.rte</groupId>
<artifactId>egovframework.rte.fdl.logging</artifactId>
<version>${egovframework.rte.version}</version>
<exclusions>
<exclusion>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
</exclusion>
<exclusion>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-slf4j-impl</artifactId>
</exclusion>
<exclusion>
<groupId>org.slf4j</groupId>
<artifactId>jcl-over-slf4j</artifactId>
</exclusion>
<exclusion>
<groupId>org.slf4j</groupId>
<artifactId>log4j-over-slf4j</artifactId>
</exclusion>
</exclusions>
</dependency>
로 구성이 되어 있습니다.
하지만 log4j가 버젼 업이 안되어서 수정 후(첨부파일) 처럼
<dependency>
<groupId>egovframework.rte</groupId>
<artifactId>egovframework.rte.fdl.logging</artifactId>
<version>${egovframework.rte.version}</version>
<!-- <exclusions>-->
<!-- <exclusion>-->
<!-- <groupId>org.apache.logging.log4j</groupId>-->
<!-- <artifactId>log4j-core</artifactId>-->
<!-- </exclusion>-->
<!-- <exclusion>-->
<!-- <groupId>org.apache.logging.log4j</groupId>-->
<!-- <artifactId>log4j-slf4j-impl</artifactId>-->
<!-- </exclusion>-->
<!-- <exclusion>-->
<!-- <groupId>org.slf4j</groupId>-->
<!-- <artifactId>jcl-over-slf4j</artifactId>-->
<!-- </exclusion>-->
<!-- <exclusion>-->
<!-- <groupId>org.slf4j</groupId>-->
<!-- <artifactId>log4j-over-slf4j</artifactId>-->
<!-- </exclusion>-->
<!-- </exclusions>-->
</dependency>
exclusion에서 제외하고 따로 dependency로 등록해서 사용하려고 합니다
이렇게 사용 하는게 맞는건 가요????????????
이번 취약점 관련 패치 중에 질문이 있습니다.
아래 첨부된 수정전 파일은 현재
<dependency>
<groupId>egovframework.rte</groupId>
<artifactId>egovframework.rte.fdl.logging</artifactId>
<version>${egovframework.rte.version}</version>
<exclusions>
<exclusion>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
</exclusion>
<exclusion>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-slf4j-impl</artifactId>
</exclusion>
<exclusion>
<groupId>org.slf4j</groupId>
<artifactId>jcl-over-slf4j</artifactId>
</exclusion>
<exclusion>
<groupId>org.slf4j</groupId>
<artifactId>log4j-over-slf4j</artifactId>
</exclusion>
</exclusions>
</dependency>
로 구성이 되어 있습니다.
하지만 log4j가 버젼 업이 안되어서 수정 후(첨부파일) 처럼
<dependency>
<groupId>egovframework.rte</groupId>
<artifactId>egovframework.rte.fdl.logging</artifactId>
<version>${egovframework.rte.version}</version>
<!-- <exclusions>-->
<!-- <exclusion>-->
<!-- <groupId>org.apache.logging.log4j</groupId>-->
<!-- <artifactId>log4j-core</artifactId>-->
<!-- </exclusion>-->
<!-- <exclusion>-->
<!-- <groupId>org.apache.logging.log4j</groupId>-->
<!-- <artifactId>log4j-slf4j-impl</artifactId>-->
<!-- </exclusion>-->
<!-- <exclusion>-->
<!-- <groupId>org.slf4j</groupId>-->
<!-- <artifactId>jcl-over-slf4j</artifactId>-->
<!-- </exclusion>-->
<!-- <exclusion>-->
<!-- <groupId>org.slf4j</groupId>-->
<!-- <artifactId>log4j-over-slf4j</artifactId>-->
<!-- </exclusion>-->
<!-- </exclusions>-->
</dependency>
exclusion에서 제외하고 따로 dependency로 등록해서 사용하려고 합니다
이렇게 사용 하는게 맞는건 가요????????????
환경정보
-
- OS 정보 : centos-7.3-64
- 표준프레임워크 버전 : 3.7
- JDK(JRE) 정보 : JAVA 8
- WAS 정보 : TOMCAT
- DB 정보 :
- 기타 환경 정보 : IDE : intellij
A
안녕하세요.
표준프레임워크센터입니다.
수정후 파일을 보면
log4j-core 라이브러리를 log4j 2.15.0으로
업그레이드 하여 구성하셨으므로
2.15.0 버전이 적용될것을 보입니다.
개발시 다양한 라이브러리가 추가로 적용되어 있을수 있으므로
반드시 개발환경이나 테스트베드환경에서 확인후 운영서버에 반영해야 합니다.
다음 자주묻는 질문을 확인하실수 있습니다.
https://www.egovframe.go.kr/home/faqinfo/faqinfoRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=68&faqId=FAQ_0000000000000812
감사합니다.
표준프레임워크센터입니다.
수정후 파일을 보면
log4j-core 라이브러리를 log4j 2.15.0으로
업그레이드 하여 구성하셨으므로
2.15.0 버전이 적용될것을 보입니다.
개발시 다양한 라이브러리가 추가로 적용되어 있을수 있으므로
반드시 개발환경이나 테스트베드환경에서 확인후 운영서버에 반영해야 합니다.
다음 자주묻는 질문을 확인하실수 있습니다.
https://www.egovframe.go.kr/home/faqinfo/faqinfoRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=68&faqId=FAQ_0000000000000812
감사합니다.