전자정부 log4j2 취약점 문의
- 작성자 :
- 양*우
- 작성일 :
- 2021-12-13 13:11:35
- 조회수 :
- 2,797
- 구분 :
- 기타
- 진행상태 :
- 완료
Q
안녕하세요.
log4j2 취약점 이슈때문에 질문드립니다.
전자정부에서 제공하는 로그를 사용중인것으로 확인됐습니다.
로그는 전자정부 버전을 올려야 log4j2가 변경되나요?
조치방법 알려주시면 감사하겠습니다.
<dependency>
<groupId>org.bgee.log4jdbc-log4j2</groupId>
<artifactId>log4jdbc-log4j2-jdbc4.1</artifactId>
<version>1.16</version>
</dependency>
log4j2 취약점 이슈때문에 질문드립니다.
전자정부에서 제공하는 로그를 사용중인것으로 확인됐습니다.
로그는 전자정부 버전을 올려야 log4j2가 변경되나요?
조치방법 알려주시면 감사하겠습니다.
<dependency>
<groupId>org.bgee.log4jdbc-log4j2</groupId>
<artifactId>log4jdbc-log4j2-jdbc4.1</artifactId>
<version>1.16</version>
</dependency>
환경정보
-
- OS 정보 :
- 표준프레임워크 버전 :
- JDK(JRE) 정보 :
- WAS 정보 :
- DB 정보 :
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크센터 입니다.
다음 2가지 대안이 있습니다.
o JDK 1.8 이상인경우 log4j-core-2.15.0.jar를 적용할수 있습니다.
pom.xml에 다음을 추가합니다.
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.15.0</version>
</dependency>
배포시 대상서버에 WEB-INF/lib 디렉토리에
log4j-core-2.15.0.jar파일이 배포되었는지 확인합니다.
o JDK 1.7인경우 Apache Log4j 2.0-beta9 ~ 2.10.0에 해당하는 경우
- JndiLookup 클래스를 경로에서 제거 :
다음명령어로 대상 클래스를 삭제 합니다.
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
다음 자주묻는 질문을 확인하실수 있습니다.
https://www.egovframe.go.kr/home/faqinfo/faqinfoRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=68&faqId=FAQ_0000000000000812
감사합니다.
표준프레임워크센터 입니다.
다음 2가지 대안이 있습니다.
o JDK 1.8 이상인경우 log4j-core-2.15.0.jar를 적용할수 있습니다.
pom.xml에 다음을 추가합니다.
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.15.0</version>
</dependency>
배포시 대상서버에 WEB-INF/lib 디렉토리에
log4j-core-2.15.0.jar파일이 배포되었는지 확인합니다.
o JDK 1.7인경우 Apache Log4j 2.0-beta9 ~ 2.10.0에 해당하는 경우
- JndiLookup 클래스를 경로에서 제거 :
다음명령어로 대상 클래스를 삭제 합니다.
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
다음 자주묻는 질문을 확인하실수 있습니다.
https://www.egovframe.go.kr/home/faqinfo/faqinfoRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=68&faqId=FAQ_0000000000000812
감사합니다.