프레임워크 3.0.0버전 log4j 취약점 관련 문의드립니다.
- 작성자 :
- 윤*환
- 작성일 :
- 2021-12-13 10:44:54
- 조회수 :
- 2,940
- 구분 :
- 공통컴포넌트 / 기타
- 진행상태 :
- 완료
Q
안녕하세요. 국가기록원 표준기록관리시스템 유지보수 사업단입니다.
이번 log4j 취약점 관련, 프레임워크 3.0.0 버전을 사용하는 기관에서 문의가 와서 문의드립니다.
프레임워크 3.0.0 버전의 라이브러리 종속성을 보면 log4j 2.0 rc1 버전이 포함되어있습니다.
https://logging.apache.org/log4j/2.x/changes-report.html 링크를 보시면
2.0-beta9 버전이 2013-09-14 일에 릴리즈 되었고
2.0-rc1 버전이 2014-02-16 일에 릴리즈 된 것으로 확인되고 있습니다.
이번 log4j 취약점이 log4j 2.0-beta9 ~ 2.14.1 버전에서 발생되는 것으로 알고있는데
https://www.egovframe.go.kr/home/ntt/nttRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=74&bbsId=6&nttId=1838
여기 업로드하신 공지사항엔 프레임워크 3.0.0 에 대한 안내가 없어 문의를 드립니다.
첨부해드린 로그는, 3.0.0 버전을 사용하는 기관에서
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
명령으로 조치 후 기동을 하였을 때 발생한 오류 로그자료입니다.
3.0.0 버전을 사용하는 기관에서도 조치를 하는 것이 맞는지, 맞다면 어떻게 조치를 해야할지 문의드립니다.
이번 log4j 취약점 관련, 프레임워크 3.0.0 버전을 사용하는 기관에서 문의가 와서 문의드립니다.
프레임워크 3.0.0 버전의 라이브러리 종속성을 보면 log4j 2.0 rc1 버전이 포함되어있습니다.
https://logging.apache.org/log4j/2.x/changes-report.html 링크를 보시면
2.0-beta9 버전이 2013-09-14 일에 릴리즈 되었고
2.0-rc1 버전이 2014-02-16 일에 릴리즈 된 것으로 확인되고 있습니다.
이번 log4j 취약점이 log4j 2.0-beta9 ~ 2.14.1 버전에서 발생되는 것으로 알고있는데
https://www.egovframe.go.kr/home/ntt/nttRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=74&bbsId=6&nttId=1838
여기 업로드하신 공지사항엔 프레임워크 3.0.0 에 대한 안내가 없어 문의를 드립니다.
첨부해드린 로그는, 3.0.0 버전을 사용하는 기관에서
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
명령으로 조치 후 기동을 하였을 때 발생한 오류 로그자료입니다.
3.0.0 버전을 사용하는 기관에서도 조치를 하는 것이 맞는지, 맞다면 어떻게 조치를 해야할지 문의드립니다.
환경정보
-
- OS 정보 : AIX 6.1
- 표준프레임워크 버전 : 3.0.0
- JDK(JRE) 정보 : OpenJDK (sr16fp2) 1.6
- WAS 정보 : JEUS 6.0 fix 8
- DB 정보 : tibero 4 sp1
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크센터 입니다.
표준프레임워크 특정 버전을 사용하였다고 하더라도
개발시 추가 라이브러리에 의해
Log4j 버전을 변경되었을수도 있습니다.
따라서 최종 적용된 Log4j버전을 확인하셔야 합니다.
프로젝트 구성시
보안이슈가 되는 클래스에 의존성이 있는 케이스로 보입니다.
WAS에서 해당 의존성을 제거 하거나
java.lang.NoClassDefFoundError: org.apache.logging.log4j.core.lookup.JndiLookup
이경우는 Log4j 2.15로 업그레이드 하셔야 할 사항으로 보입니다.
감사합니다.
표준프레임워크센터 입니다.
표준프레임워크 특정 버전을 사용하였다고 하더라도
개발시 추가 라이브러리에 의해
Log4j 버전을 변경되었을수도 있습니다.
따라서 최종 적용된 Log4j버전을 확인하셔야 합니다.
프로젝트 구성시
보안이슈가 되는 클래스에 의존성이 있는 케이스로 보입니다.
WAS에서 해당 의존성을 제거 하거나
java.lang.NoClassDefFoundError: org.apache.logging.log4j.core.lookup.JndiLookup
이경우는 Log4j 2.15로 업그레이드 하셔야 할 사항으로 보입니다.
감사합니다.